Fortinet FortiSIEM の脆弱性 CVE-2025-25256:ポスト・エクスプロイト検出ツールが提供

PoC Released for Fortinet FortiSIEM Command Injection Flaw

2025/08/16 gbhackers — Fortinet の FortiSIEM プラットフォームに存在する、未認証によるコマンド・インジェクションの脆弱性を、セキュリティ研究者たちが発見している。この脆弱性を悪用する攻撃者は、認証情報を必要とせずに、企業のセキュリティ監視システムを完全に侵害できるという。この脆弱性 CVE-2025-25256 は、すでに実環境で悪用が確認されており、重要なインフラ監視ツールのセキュリティに深刻な懸念をもたらしている。

セキュリティ・プラットフォームに深刻な欠陥

Fortinet の主力である SIREM (Security Information and Event Management) ソリューション FortiSIEM は、セキュリティ・イベント監視/脅威の相関分析/インシデント対応の自動化などのために広く導入されている。このプラットフォームは企業の SOC (Security Operations Center) の中枢として設計されているため、今回の脆弱性により、世界中の組織に深刻な影響が生じるという。

この脆弱性は、FortiSIEM プロセスの健全性を監視する、C++ バイナリ phMonitor (ポート 7900 上で動作) に存在する。

watchTowr Labs の研究者たちが発見したのは、この問題が handleStorageArchiveRequest 関数における不十分な入力サニタイズに起因することだ。この関数は、ユーザーが制御する XML データを、不十分な検証のまま処理している。

この脆弱性は、FortiSIEM の広範なバージョンに影響を及ぼす可能性がある:

  • FortiSIEM 5.4~7.3.1 までの全バージョンに影響を及ぼす。
  • 数年前のレガシー・バージョンは、修正版への完全移行が必要。
  • バージョン 6.6 以下は、段階的修正ができないため、完全移行が必要。
  • FortiSIEM 7.4 は影響を受けない。
  • 修正版は 7.3.2/7.2.6/7.1.8/7.0.4/6.7.10 に含まれる。

この広範な影響により、旧バージョンを使用する組織は深刻なリスクに直面している。

実環境での攻撃

特に注目すべきは、この脆弱性を悪用する実用的なエクスプロイト・コードの存在を、Fortinet が認めたという点である。この事実は、研究者が分析を公開した後に、脆弱性が武器化されるという、従来の見方を覆すものだ。つまり、攻撃者が独自に脆弱性を発見/悪用していることを示している。

技術分析によると、細工した XML ペイロードを脆弱な phMonitor サービスに送信する攻撃者は、この脆弱性を悪用できる。つまり、基本的な引用符エスケープのみを実施する、addParaSafe 関数を回避する攻撃者は、FortiSIEM システム権限での任意のコマンド実行を可能にする。

対応策

セキュリティ・チームにとって必要なことは、この脆弱性を、最優先で対応すべき脅威として扱うことである。特にSIEM システムは標的になりやすく、この脆弱性の悪用により、組織は進行中の攻撃を検知できなくなる。それと同時に、攻撃者に対して、ネットワーク全体への可視化を提供してしまう可能性がある。


ユーザー組織は直ちに、FortiSIEM の利用状況を確認し、Fortinet のアドバイザリに従ってバージョンを確認すべきである。また、バージョン 6.6 以下の場合に、Fortinet が推奨するのは、段階的アップデートではなくパッチ適用済みリリースへの完全移行である。

なお、watchTowr Labs は、自社環境での潜在的エクスプロイト試行を、セキュリティ・チームが特定するための、検出アーティファクト・ジェネレーターをリリースしている。

このエクスプロイトの単純さと、実環境での悪用の状況を踏まえ、すでにアクティブ・スキャンやエクスプロイト試行が発生していると、ユーザー組織は想定すべきである。このインシデントが浮き彫りにするのは、セキュリティ・ツール自体の防御に関する広範な懸念であり、また、他の重要システムと同等の厳格な基準で保護することの必要性である。

FortiSIEM の脆弱性を、phMonitor サービス内の handleStorageArchiveRequest 関数における入力サニタイズ不足に起因するものとして、watchTowr Labs は追跡しているようです。具体的には、ユーザーが制御する XML データが十分に検証されず処理されるため、攻撃者が任意のコマンドを実行できてしまう点に注目しています。検出アーティファクト・ジェネレーターを公開して、防御側が実際の攻撃試行を識別できるよう支援していると、この記事は指摘しています。なお、この件に関する第一報は、2025/08/13 の「Fortinet FortiSIEM の脆弱性 CVE-2025-25256 が FIX:実環境での PoC の悪用試行を確認」です。よろしければ、ご参照ください。