Fortinet fixes critical zero-day exploited in FortiVoice attacks
2025/05/13 BleepingComputer — Fortinet が公表したのは、FortiVoice 企業電話システムで発見された、深刻なリモートコード実行の脆弱性 CVE-2025-32756 を修正する、セキュリティ・アップデートのリリースである。この脆弱性は、スタック・オーバーフローの欠陥に起因し、FortiMail/FortiNDR/FortiRecorder/FortiCamera などの影響を及ぼすものであり、すでにゼロデイ攻撃で悪用されている。
5月13日 (火) に Fortinet が公開したセキュリティ・アドバイザリで説明されるように、この脆弱性を悪用する未認証のリモート攻撃者は、悪意を持って細工した HTTP リクエストを介して、任意のコードやコマンドを実行する機会を得る。
Fortinet の PSIRT チームは、攻撃者の活動の痕跡である、ネットワーク・スキャン/システム・クラッシュ・ログ削除に加えて、システムからの認証情報や SSH ログイン試行を記録する “fcgi debugging” の有効化などをベースに、脆弱性 CVE-2025-32756を特定した。
このセキュリティ・アドバイザリで詳述されるように、脅威アクターが攻撃を開始した IP アドレスは、”198.105.127[.]124″/”43.228.217[.]173″/”43.228.217[.]82″/”156.236.76[.]90″/”218.187.69[.]244″/”218.187.69[.]59″ の6つである。
Fortinet が攻撃を分析する際に発見した侵害指標 (IOC) には、侵害を受けたシステムの “fcgi debugging” の設定があり、デフォルトでは OFF が ON に切り替えられていた。
この設定の有効化/無効化を確認するには、diag debug application fcgi コマンドを実行した後の、”general to-file ENABLED” 表示を参照してほしい。
これらの攻撃を調査する中で、Fortinet が確認したのは、ハッキングされたデバイスにマルウェアを展開し、認証情報収集を目的とする cron ジョブを追加し、被害者のネットワークをスキャンするスクリプトをドロップする、攻撃者の存在である。
さらに Fortinet は、最新のセキュリティ・アップデートの迅速なインストールが不可能な顧客向けに、脆弱性のあるデバイスでは HTTP/HTTPS 管理インターフェイスを無効化するという緩和策も提供している。
2025年4月に Shadowserver Foundation は、インターネットに公開されている 16,000台以上の Fortinet デバイスが、新たなシンボリック・リンク・バックドアによって侵害されたことを発見した。このバックドアを活用する攻撃者は、以前の攻撃でハッキングしたデバイス上の機密ファイルに対して、Read Only アクセスを可能にしていた。さらに 4月初旬にも、リモートからの管理者パスワード変更に悪用される可能性のある、FortiSwitch の深刻な脆弱性が報告されていた。
Fortinet FortiVoice の脆弱性が FIX しましたが、すでにゼロデイ攻撃で悪用されているとのことです。ご利用のチームは、十分にご注意ください。よろしければ、Fortinet で検索と、併せてご参照ください。
2025/04/14:Fortinet の脆弱性を悪用する脅威アクターを観測
2025/04/11:ポスト・エクスプロイト手法が残存 – Fortinet
2025/04/08:FortiAnalyzer/FortiOS などの脆弱性が FIX
IoT OT Security News 
You must be logged in to post a comment.