パッチを当てても無駄だった? セキュリティ大手の痛恨のミス
Fortinetの「FortiSIEM」において、root権限で任意のコマンド実行が可能な脆弱性(CVE-2025-64155)が判明した。過去3年間、修正と新しい脆弱性の発覚が繰り返されており、攻撃領域の保護不足が露呈している。ログ改ざんによる被害拡大などを防ぐため、迅速な現状の確認が求められる。
Fortinet製品「FortiSIEM」に関連する脆弱(ぜいじゃく)性がなかなか解決しない。これまで解決するたびに同じような脆弱性が見つかっている。
現在は2026年1月13日に公開された脆弱性「CVE-2025-64155」に焦点が集まっている(注1)。この脆弱性は危険だ。なぜなら、概念実証(PoC)が公開された後、わずか数日後に脅威グループが悪用し始めたからだ。
CVE-2025-64155を悪用すると、root権限で任意のコマンドを実行できる。
パッチを当てても無駄だった? セキュリティ大手の痛恨のミス
リスク検出プラットフォームを運営しているHorizon3.aiの研究者による開示を受け、Fortinetは2026年1月13日(現地時間、以下同)にこの脆弱性に関する勧告を公開した(注2、注3)。また、サイバーセキュリティ事業を営むDefusedの研究者は自社のハニーポットにおいて悪用の試行が検知されたと報告している(注4)。
「この脆弱性はFortiSIEMのphMonitorで近年見つかっている複数の脆弱性の中で最新のものだ」と研究者は述べた(注5)。また、Horizon3.aiのザック・ハンリー氏(チーフ・アタック・エンジニア)によると(注6)、今回の脆弱性は「どの保存方式を使うかを決める中核的な処理」に共通して存在しているという。保存方式として選択されるのはNFSかElasticだ。
なお、CVE-2025-64155以前に確認されている脆弱性は「CVE-2023-34992」と「CVE-2024-23108」だ(注7、注8)。
Fortinetと犯罪者のいたちごっこが続く
本文で取り上げた3つの脆弱性を発見したのは、いずれもHorizon3.aiの研究者だ。これらの脆弱性は手を変え品を変え続いており、いずれもFortiSIEMについてリモートからroot権限を得てしまう。
2023年10月に公開されたCVE-2023-34992は、APIのリクエストを処理する際にユーザーが入力したデータの無害化(サニタイズ)が不十分だった。攻撃者が細工をしたAPIリクエストを送信するだけで、認証なくシステム下のOSレベルで任意のコマンドをroot権限で実行できる。
2024年1月に公開されたCVE-2024-23108は、最初の脆弱性に対するパッチに不備があったことが原因だ。Fortinetはサニタイズを実行するコードを追加したものの、特定の条件下でその保護をすり抜けてしまう。やはりroot権限でコードを実行できる。
今回のCVE-2025-64155はこれら2つの脆弱性とは違ってコマンドインジェクションが原因ではない。ストレージ設定を処理する部分の抜け穴を利用している。
SIEMは企業のセキュリティログが集約される心臓部だ。乗っ取られるとインシデントの痕跡自体を消されてしまうなど、被害が拡大してしまうため、FortiSIEMのユーザーは自社の対応がどこまで進んでいるのかを改めて確認する必要がある(キーマンズネット編集部)
Fortinetはこれらの問題を是正するために複数の対策を講じてきたが、十分ではなかったようだ。
「Fortinetはこの種のバグに対して攻撃対象領域を守るために配慮してきたが、強化は主に直接脆弱なコンポーネントに集中しており、隣接する攻撃対象領域には十分に及んでいなかった」(ハンリー氏)
研究者によると、既に悪用が確認された脆弱性をまとめたサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のKEVカタログに、これらの脆弱性は掲載されていないという。しかし、ランサムウェアグループとして知られる「Black Basta」が、流出したチャットログの中でこれらの脆弱性に言及していたことが判明している。
現時点でFortinetの担当者からのコメントは得られていない。
出典:Critical flaw in Fortinet FortiSIEM targeted in exploitation threat(Cybersecurity Dive)
注1:CVE-2025-64155 Detail(NIST)
注2:Unauthenticated remote command injection(FortiGuard Labs)
注3:Achieved full Domain admin privileges in under 60 seconds(Horizon3.ai)
注4:Defused(X)
注5:CVE-2025-64155: Three Years of Remotely Rooting the Fortinet FortiSIEM(Horizon3.ai)
注6:took over an entra user account in 19 mitutes(Horizon3.ai)
注7:CVE-2023-34992 Detail(NIST)
注8:CVE-2024-23108 Detail(NIST)
© Industry Dive. All rights reserved.
関連記事
未修正のまま5年放置――1万台以上のFortiGateが今、ランサムウェアの標的に?
Fortinet製品の既存の脆弱性を狙ったサイバー攻撃が再燃している。対応策が公開されてから年月を経ているにもかかわらず、ユーザー企業が修正していないことが原因だ。
Fortinet製品で認証を回避する脆弱性 企業はどう対応すべきか
FortiGateを利用している企業はどのような対応が必要なのかをすぐに確認すべきだ。
「修正済み」のはずだが? Fortinetを巡る脆弱性情報が招いた混乱
Fortinetの「FortiWeb」における脆弱性対応が混乱を招いている。同社が示した修正対象とセキュリティ企業が指摘した対象が異なっていることや、Fortinetが「サイレントパッチ」を実施したことが原因だ。