Fortinet FortiSIEM Vulnerability CVE-2025-64155 Actively Exploited in Attacks
2026/01/15 CyberSecurityNews — Fortinet FortiSIEM の脆弱性 CVE-2025-64155 が、現在も実環境で積極的に悪用されていることが、Defused によるハニーポット展開の結果として確認された。この脆弱性が未認証のリモート攻撃者に悪用された場合には、深刻な OS コマンド・インジェクションにより、認証不要のリモート・コード実行 (RCE) を許す恐れがあるため、企業のセキュリティ監視基盤に深刻なリスクが生じている。
脆弱性 CVE-2025-64155 は、FortiSIEM の phMonitor サービスにおける、スーパーノード/ワーカーノード間で内部データの交換を処理するプロセスに存在する。具体的には、TCP 7900 ポートを通じて外部から取得されたリクエスト内の、OS コマンドの特殊要素が適切に無効化されていないことに、問題の原因がある。
この脆弱性を悪用する攻撃者は、Elastic Type Set が設定されたストレージ・コンフィグ・エンドポイントを標的とし、ポート 7900 に対して細工した TCP リクエストを送信する。具体的には、XML ペイロードを介して curl コマンドに引数を挿入することで、管理者ユーザー権限で任意ファイルへの書き込みを実行する。
その後に、権限昇格の連鎖を実行し、バイナリを上書きすることで root アクセスに至る。PoC エクスプロイト・コードが GitHub 上で公開されており、完全な RCE チェーンを実証している。
影響を受ける FortiSIEM のバージョン範囲と修正状況は、以下の通りである。
| Product Version | Affected Range | Fixed Version fortiguard+1 |
|---|---|---|
| FortiSIEM 6.7 | 6.7.0 through 6.7.10 | Migrate to a fixed release |
| FortiSIEM 7.0 | 7.0.0 through 7.0.4 | Migrate to a fixed release |
| FortiSIEM 7.1 | 7.1.0 through 7.1.8 | 7.1.9 or above |
| FortiSIEM 7.2 | 7.2.0 through 7.2.6 | 7.2.7 or above |
| FortiSIEM 7.3 | 7.3.0 through 7.3.4 | 7.3.5 or above |
| FortiSIEM 7.4 | 7.4.0 | 7.4.1 or above |
| FortiSIEM 7.5 | Not affected | N/A |
| FortiSIEM Cloud | Not affected | N/A |
Fortinet のアドバイザリによると、クラウドノードおよびコレクターノードへの影響は確認されていない。その一方で、パッチをリリースした直後に、Defused のハニーポットを標的とする攻撃が検出されている。この攻撃で用いられたのは、第2段階のインフラを埋め込んだインジェクション文字列を取り込むペイロードである。このエクスプロイトを試行する攻撃者の足跡は、URL やファイルパスを示す PHL_ERROR エントリとして “/opt/phoenix/log/phoenix.log” に記録される。
前述のとおり、脆弱性 CVE-2025-64155 の悪用には認証が不要であるため、SIEM が外部に露出している場合のリスクは著しく増大し、ログ改竄/データ窃取/ラテラル・ムーブメントなどが可能になる。Defused が公開した最近の侵害指標 (IOC) は以下の通りである。
| IP Address | ASN/Organization |
|---|---|
| 167.17.179[.]109 | Baxet Group Inc. |
| 103.224.84[.]76 | Siamdata Communication |
| 209.126.11[.]25 | Contabo |
| 120.231.127[.]227 | China Mobile Communications Group |
| 129.226.190[.]169 | Tencent |
| 220.181.41[.]80 | IDC, China Telecommunications Corporation |
Elastic Storage の コンフィグを模倣するサンプル・ペイロードは、クラスター名 (test-cluster)/レプリカ数 (4)/Elasticsearch サービス・テストを含む XML であり、シャード番号または URI パラメータを介して挿入される。
現時点で、この脆弱性は CISA KEV に登録されていないが、Fortinet 製品に関連する 23 件の脆弱性がアクティブに悪用され続ける状況にある。
ユーザー組織にとって必要なことは、Fortinet のアドバイザリに従い、スーパーノード/ワーカーノードを直ちにアップグレードすることである。また、暫定的な回避策として、TCP 7900 への外部アクセスを遮断すべきであり、併せて phMonitor ログの監視および EDR ツールによる IOC スキャンの実施が推奨される。
PoC の公開状況および過去の標的型攻撃の実績を踏まえ、Fortinet は優先的な対応を強く求めている。この問題の本質は、活動ログの消去や偽ログの生成により、攻撃者が自身の侵害を不可視化できることにある。脅威検知に FortiSIEM を依存している企業は、侵害された SIEM により広範な侵害が見逃されるという皮肉な状況に直面している。
FortiSIEM に存在する深刻な脆弱性 CVE-2025-64155 が、実際に攻撃に悪用されているとのことです。この問題の原因は、内部データのやり取りを行う phMonitor サービスにおける、OS コマンドの特殊な文字 (メタ文字) の不正確な無効化にあります。攻撃者は 7900番ポートに対して細工した XML データを送信することで、管理者権限でのファイル書き込みを強制します。さらに、公開されている PoC エクスプロイト・コードを組み合わせることで、最終的に root 権限を奪取し、システムを完全に乗っ取ることが可能になっています。特に深刻なのは、攻撃者が SIEM 自体を支配することで、自身の侵入ログを消去したり、偽のログを生成したりして、攻撃を “見えない化” できてしまう点にあります。ご利用のチームは、ご注意ください。よろしければ、2026/01/14 の「Fortinet FortiSIEM の脆弱性 CVE-2025-64155 が FIX:TCP パケット経由での任意のコマンド実行」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.