はじめに
公開されている概念実証(PoC)コードが存在するFortinet FortiSIEMの重大な脆弱性が、現在進行中の攻撃で悪用されていることが判明しました。この脆弱性は、セキュリティ研究者Zach Hanley氏(Horizon3.ai所属)によって報告されたものです。
脆弱性の詳細
この脆弱性(CVE-2025-64155)は、管理者権限での任意の書き込みとroot権限への昇格を可能にする二つの問題の組み合わせです。Fortinetは、火曜日にこの脆弱性に対するセキュリティアップデートをリリースし、次のように説明しています。
- 「FortiSIEMにおけるOSコマンドに利用される特殊要素の不適切な無害化(OS Command Injection)の脆弱性[CWE-78]により、認証されていない攻撃者が細工されたTCPリクエストを介して不正なコードやコマンドを実行する可能性があります。」
悪用のメカニズム
Horizon3.aiの技術的な解説によると、問題の根本原因は、phMonitorサービス上で数十のコマンドハンドラーが認証なしにリモートから呼び出し可能であることにあります。同社は、引数インジェクションを利用して/opt/charting/redishb.shファイルを上書きすることでrootとしてコード実行を可能にする概念実証エクスプロイトコードを公開しています。
影響を受けるバージョンと対策
この脆弱性はFortiSIEMのバージョン6.7から7.5までに影響します。対策としては、以下のバージョンへのアップグレードが推奨されています。
- FortiSIEM 7.4.1以降
- 7.3.5以降
- 7.2.7以降
- 7.1.9以降
FortiSIEM 7.0.0から7.0.4、および6.7.0から6.7.10を使用している顧客は、修正済みのリリースへ移行するよう助言されています。Fortinetはまた、セキュリティアップデートをすぐに適用できない管理者向けに、phMonitorポート(7900)へのアクセスを制限する一時的な回避策も提供しています。
積極的な悪用の報告
一時的な回避策の発表からわずか2日後、脅威インテリジェンス企業Defusedは、脅威アクターが現在、CVE-2025-64155の脆弱性を積極的に悪用していると報告しました。Defusedは、「Fortinet FortiSIEMの脆弱性CVE-2025-64155は、我々のハニーポットで活発かつ標的型のエクスプロイトを経験している」と警告しています。
Horizon3.aiは、侵害されたシステムを特定するための侵害指標(IoC)も提供しており、管理者は/opt/phoenix/log/phoenix.logs内のPHL_ERRORエントリを含む行にペイロードURLがないか確認することで、悪用の証拠を見つけることができると説明しています。
Fortinetの過去の脆弱性
Fortinetはこれまでにも、その製品の脆弱性が攻撃者に狙われる事例が報告されています。昨年11月には、FortinetはFortiWebのゼロデイ脆弱性(CVE-2025-58034)が攻撃に悪用されていると警告し、その1週間後には、広範囲な攻撃で狙われていた2つ目のFortiWebゼロデイ(CVE-2025-64446)を密かに修正したことを確認しました。
また、昨年2月には、中国のハッキンググループ「Volt Typhoon」がFortiOSの2つの脆弱性(CVE-2023-27997およびCVE-2022-42475)を悪用し、オランダ国防省の軍事ネットワークにCoathangerリモートアクセス型トロイの木馬マルウェアを配備したことも明らかにしています。