Critical FortiSIEM Vulnerability Enables Arbitrary Commands Execution via Crafted TCP Packets
2026/01/14 CyberSecurityNews — 2026年1月13日に Fortinet が公表したのは、FortiSIEM に存在する深刻な OS コマンド・インジェクション脆弱性に関する情報である。この脆弱性 CVE-2025-64155 が悪用された場合、未認証の攻撃者によって任意のコードが実行される可能性がある。この問題は、ポート 7900 で動作する phMonitor コンポーネントにおける OS コマンドのメタ文字に対する不適切な無効化 (CWE-78) に起因する。具体的には、Super ノードおよび Worker ノードに対して悪意ある TCP リクエストを送信する攻撃者により、システム全体が侵害される恐れがある。
CVSS v3.1 の基本スコアは 9.4 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) であり、ネットワーク経由で到達可能で、攻撃の複雑性が低く、事前の権限とユーザーの操作が不要な特性から、Critical と評価されている。FortiSIEM を SIEM として利用している環境において悪用された場合には、リモート・コード実行/データ窃取/永続化が発生する可能性がある。
影響を受けるバージョンと修正
この脆弱性は複数の FortiSIEM ブランチに影響するが、コレクター・ノードには影響しない。Fortinet が強く推奨するのは、修正プログラムへの速やかなアップグレードである。また、暫定的な回避策としては、ファイアウォールを用いた TCP ポート 7900 へのアクセス制限の併用を求めている。
アップグレードが未完了の状態で、脆弱なバージョンを運用し続ける組織は、特にハイブリッド/オンプレミスの SIEM 導入環境において、きわめて高いリスクに直面することになる。
| Version | Affected Releases | Solution |
|---|---|---|
| FortiSIEM Cloud | Not affected | Not Applicable |
| FortiSIEM 7.5 | Not affected | Not Applicable |
| FortiSIEM 7.4 | 7.4.0 | Upgrade to 7.4.1 or above |
| FortiSIEM 7.3 | 7.3.0 through 7.3.4 | Upgrade to 7.3.5 or above |
| FortiSIEM 7.2 | 7.2.0 through 7.2.6 | Upgrade to 7.2.7 or above |
| FortiSIEM 7.1 | 7.1.0 through 7.1.8 | Upgrade to 7.1.9 or above |
| FortiSIEM 7.0 | 7.0.0 through 7.0.4 | Migrate to a fixed release |
| FortiSIEM 6.7 | 6.7.0 through 6.7.10 | Migrate to a fixed release |
Horizon3.ai のセキュリティ研究者 Zach Hanley (@hacks_zach) は、Fortinet の報奨プログラムに基づき、この脆弱性を責任ある形で報告した。アドバイザリ (FG-IR-25-772) は Fortinet の PSIRT ページに掲載されており、NVD (National Vulnerability Database) による詳細な分析は現在進行中である。現時点において、実際に悪用された事案は確認されていないが、認証が不要な攻撃が可能であることから、対応の緊急性は高い。
Fortinet が推奨するのは、異常な TCP/7900 トラフィックに関するログの監査と、パッチの速やかな適用である。今回の脆弱性が改めて浮き彫りにするのは、SIEM アーキテクチャにおける最小権限の原則と、ネットワーク・セグメンテーションの重要性である。
セキュリティログを集約/分析する FortiSIEM において、外部からシステムを操作される恐れのある、きわめて深刻な脆弱性 CVE-2025-64155 が発見されました。この問題の原因は、ポート 7900 で動作してノード管理を担う phMonitor コンポーネントにおいて、外部からのリクエストに含まれる OS コマンドのメタ文字 (特別な意味を持つ記号) が正しく無効化されていないことにあります。これにより、攻撃者が細工した悪意ある TCP リクエストを送信すると、システムがそれを正当な命令として実行してしまい、最終的にサーバの制御権を完全に奪われるリスクが生じています。ご利用のチームは、ご注意ください。よろしければ、FortiSIEM での検索結果を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.