2025/08/13 gbhackers — Fortinet の FortiSIEM プラットフォームに存在する、深刻な脆弱性がセキュリティ研究者たちにより発見された。この脆弱性を悪用するリモートの攻撃者は、認証を必要とすることなく任意のコマンド実行を達成するという。この脆弱性 CVE-2025-25256 (CVSS:9.8) については、すでに実用レベルの PoC エクスプロイト・コードが確認されており、世界中の組織にとって差し迫った脅威となっている。
脆弱性の詳細
この脆弱性 CVE-2025-25256 は、OS コマンドで使用される特殊要素の不適切な無効化に起因し、CWE-78 (OS コマンド・インジェクション) に分類される。FortiGuard のレポートによると、未認証の攻撃者が、特別に細工された CLI リクエストを送信することで、影響を受ける FortiSIEM システム上での任意のコード/コマンド実行が可能になるという。
この攻撃ベクターはリモート経由であり、事前のアクセスを必要とせず、認証情報は不要であるため、きわめて危険と評価されている。この脆弱性の悪用に成功した攻撃者は、この SIEM インフラを完全に制御し、セキュリティ・ログの改竄/監視機能の無効化などに加えて、ネットワーク内でのラテラル・ムーブメントの起点を得る可能性がある。
この脆弱性が影響を及ぼす範囲は、複数の FortiSIEM バージョンとなる。Fortinet は影響を受けるリリースごとにアップグレード・パスを提示している。ただし、FortiSIEM バージョン 6.6 以下を使用する組織のケースでは、単純なアップデートではなく、サポート対象リリースへの完全移行が必要であり、対応が困難となる場合がある。
| Version | Affected Releases | Recommended Solution |
| FortiSIEM 7.4 | Not affected | Not Applicable |
| FortiSIEM 7.3 | 7.3.0 through 7.3.1 | Upgrade to 7.3.2 or above |
| FortiSIEM 7.2 | 7.2.0 through 7.2.5 | Upgrade to 7.2.6 or above |
| FortiSIEM 7.1 | 7.1.0 through 7.1.7 | Upgrade to 7.1.8 or above |
| FortiSIEM 7.0 | 7.0.0 through 7.0.3 | Upgrade to 7.0.4 or above |
| FortiSIEM 6.7 | 6.7.0 through 6.7.9 | Upgrade to 6.7.10 or above |
| FortiSIEM 6.6 and below | All versions | Migrate to fixed release |
現時点において、この脆弱性に対する悪用の試行が検出されているため、優先度の高いセキュリティ上の懸念事項となっている。緩和策として、phMonitor ポート (7900) へのアクセス制限があるが、包括的な修復策を計画する間の、短期的な対策として捉えるべきだ。
セキュリティ・チームにとって必要なことは、FortiSIEM の導入状況を直ちに調査し、露出リスクに基づいた、パッチ適用の優先順位を決定した上で、侵害指標 (IoC) を継続的に監視することである。このアドバイザリは、2025年8月12日の時点で、Fortinet の IR 番号 FG-IR-25-152 として公開されており、影響を受ける組織においては迅速な対応が求められる。
FortiSIEM の脆弱性 CVE-2025-25256 は、OS コマンドの不適切な処理に起因するものである。具体的には、OS コマンド・インジェクションと呼ばれる欠陥であり、それを悪用する攻撃者が、細工したリクエストを送り込むと、本来許されないコマンドがシステムで実行されます。今回の脆弱性は、認証を必要とせずに外部から悪用できるものであり、PoC エクスプロイトも出回っていることから、特に危険であると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、FortiSIEM で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.