CISA KEV 警告 25/05/14:Fortinet FortiVoice などの RCE 脆弱性 CVE-2025-32756 を登録

U.S. CISA adds a Fortinet flaw to its Known Exploited Vulnerabilities catalog

2025/05/15 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Fortinet の複数製品に存在するスタック・バッファオーバーフロー脆弱性 CVE-2025-32756 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。それに先行するかたちで Fortinet が公表したのは、企業向け電話システムを標的とする攻撃で悪用された、FortiVoice のリモートコード実行の脆弱性 CVE-2025-32756 に対処する、セキュリティ・アップデートのリリースである。

この脆弱性は、FortiVoice/FortiMail/FortiNDR/FortiRecorder/FortiCamera などに影響を与える、スタック・オーバーフローの欠陥に起因する。この脆弱性を悪用する未認証のリモート攻撃者は、悪意の HTTP リクエストを介して、任意のコード/コマンド実行の可能性を手にする。

同社のアドバイザリには、「FortiVoice/FortiMail/FortiNDR/FortiRecorder/FortiCamera に存在する、スタック・オーバーフロー脆弱性 [CWE-121] により、未認証のリモート攻撃者は、細工された HTTP リクエストを介して、任意のコード/コマンド実行の機会を得る。当社では、この脆弱性が FortiVoice 上で実際に悪用されたことを確認している」と記されている。

同社によると、この脆弱性を悪用する攻撃者は、ネットワーク・スキャン/クラッシュログの消去/fcgi デバッグの有効化を達成し、システムおよび SSH のログインに関する認証情報を取得したという。

侵害したサーバにマルウェアを展開する攻撃者が、認証情報を盗む cron ジョブを追加し、スクリプトを使用することで、被害者のネットワークをスキャンする様子を、同社は確認している。

Fortinet が公開したセキュリティ侵害の兆候 (IOC) によると、一連の攻撃は6つの IP アドレスから発信されている。

  • 198.105.127[.]124
  • 43.228.217[.]173
  • 43.228.217[.]82
  • 156.236.76[.]90
  • 218.187.69[.]244
  • 218.187.69[.]59

なお、この IOC には、侵害を受けたシステムで有効化されていた、”fcgi デバッグ” 設定も含まれる。それぞれのシステムで、”fcgi デバッグ” の有効化を確認する際には、以下の CLI コマンドが使用できる:

diag debug application fcgi

その出力に、”general to-file ENABLED” が表示される場合には、システム上で “fcgi デバッグ” が有効化されていると判断できる。

fcgi debug level is 0x80041general to-file ENABLED

アドバイザリには、「この設定は、デフォルトでは OFF であるため、過去に有効化していない限り、あくまでも潜在的な侵害指標 (IOC) となる」と付け加えている。

前述のとおり、Fortinet が確認したのは、マルウェアを展開する攻撃者が、認証情報を盗む cron ジョブを追加し、スクリプトを介して被害者のネットワークをスキャンするという状況である。

同社が推奨する回避策は、HTTP/HTTPS 管理インターフェイスの無効化である。

なお、この脆弱性を発見したのは、Fortinet の PSIRT チームである。

拘束力のある運用指令 (BOD) 22-01 に基づき、KEV カタログに記載された脆弱性を悪用する攻撃からネットワークを保護するために、FCEB 機関は期限までに対処する必要がある。CISA は連邦政府機関に対して、2025年6月4日までに、この脆弱性を修正するよう命じている。

さらに専門家が推奨するのは、このカタログを民間組織も確認し、インフラの脆弱性に対処することである。

Fortinet 製品の RCE 脆弱性 CVE-2025-32756 が、CISA KEV に登録されました。すでに FortiVoice 上での悪用が確認されており、2025/05/13 の「Fortinet FortiVoice の脆弱性 CVE-2025-32756 が FIX:ゼロデイ攻撃での悪用を確認」で詳しく取り上げています。ご利用のチームは、アップデートをお急ぎください。よろしければ、CISA KEV ページも、ご参照ください。