Fortinet Zero-Day Under Attack: PoC Now Publicly Available
2025/05/23 gbhackers — FortiGuard Labs が公開したのは、FortiCamera/FortiMail/FortiNDR/FortiRecorder/FortiVoice などの製品群に影響を及ぼす、深刻な脆弱性 CVE-2025-32756 に関する緊急アドバイザリである。この脆弱性は、管理上の API に、具体的にはセッション Cookie の処理に存在する、スタック・オーバーフローに起因する。この脆弱性により、未認証のリモート・コード実行が可能になるため、攻撃者にとって格好の標的になる。
FortiGuard の発表の翌日に、米国の Cybersecurity and Infrastructure Security Agency (CISA) が、この脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加し、実際に悪用されていることを確認した。
この脆弱性は、mod_fcgid を用いてコンフィグされた Webサーバから、アクセスが可能な admin.fe CGI バイナリに起因する。
このコンフィグを悪用する攻撃者は、サーバ全体のクラッシュのリスクにさらすことなくエンドポイントを標的化できるため、侵害を成功に導く可能性が高まる。
curl を使用した簡単なテスト:以下のコマンドにより、脆弱なエンドポイントへのアクセスを確認する。
bashcurl -k -L -v https://<target>/module/admin.fe
技術分析:APSCOOKIE フィールドの悪用
この脆弱性の重要な側面は、APsCOOKIE セッション Cookie の処理にある。この Cookie には、Era/Payload/AuthHash という3 つのフィールドが取り込まれている。これらのフィールドは URL エンコードされ、管理インターフェイス内でのセッション管理に使用される。
この脆弱性は、共有ライブラリ libhttputil.so1 内の関数 cookieval_unwrap() の、AuthHash フィールドを Base64 デコードする際に発生する。
パッチ未適用版では、以下のシーケンスの実行が可能となる。
ciVar2 = __isoc99_sscanf(param_1,"Era=%1d&Payload=%m[^&]&AuthHash=%m[^&]&",&Era,&Payload, &AuthHash);
input_size = strlen((char *)AuthHash);
iVar3 = EVP_DecodeUpdate(ctx,(uchar *)output_buffer,&output_size,AuthHash,(int)input_size);
AuthHash にはサイズ・チェックが存在しないため、攻撃者が Base64 エンコードされた文字列をデコードすると、割り当てられたバッファサイズ (16 Byte) を超えることになり、典型的なスタック・オーバーフローが発生するとされる。
なお、パッチ適用版では、重要なサイズ・チェックが導入されている。
cinput_size = strlen((char *)AuthHash);
if (input_size < 0x1e) {
// safe to decode
}
この修正により、サイズ超過の入力による、バッファ・オーバーフローが防止され、脆弱性が効果的に軽減される。
影響と悪用可能性と緩和策
脆弱性 CVE-2025-32756 の悪用においては認証が不要である、さらにスタック・オーバーフローを容易に引き起こせるため、侵害の可能性が高まる。保存されたレジスタや、リターン・アドレス (RIP) などの重要なスタック値を上書きする攻撃者により、実行フローが完全に制御されるという可能性が生じる。
したがって攻撃者は、影響を受けるサービスの権限を用いた、任意のコード実行の可能性を手にする。
PoC エクスプロイトが実証するのは、脆弱なエンドポイントへと向けた、特別に細工された AuthHash 値 (base64 エンコードされた null バイトの長い文字列など) の送信である。
セキュリティ研究者たちは、この方法により、確実にオーバーフローをトリガー出来ることを確認している。この脆弱性に対するカバレッジは、NodeZero などのセキュリティ・プラットフォームに、すでに追加されている。
FortiGuard Labs が、すべてのユーザーに対して強く推奨するのは、Fortinet 製品に対するアップデート/緩和策を、速やかに適用することだ。また、同社のアドバイザリでは、詳細な侵害指標 (IOC) と緩和策が提供されている。
この脆弱性は、現在も悪用が続いている。この脆弱性の深刻さを考慮すると、影響を受けるシステムの保護は、最優先の課題となる。
悪用が続く Fortinet の脆弱性 CVE-2025-32756 ですが、PoC が公開されたとのことです。ご利用のチームは、アップデートを お急ぎください。この脆弱性に関しては、以下の記事でも取り上げています。よろしければ、Fortinet で検索と併せて、ご参照ください。
2025/05/15:Fortinet の CVE-2025-32756:CISA KEV 登録
2025/05/13:Fortinet の CVE-2025-32756 が FIX:悪用を確認
IoT OT Security News 
You must be logged in to post a comment.