2025年5月、Fortinetの複数の製品に影響する深刻な脆弱性「CVE-2025-32756」が報告されました。遠隔から攻撃者が認証不要で任意のコードを実行できる可能性があり、実際の攻撃も確認されています。本記事では、脆弱性の仕組みや影響範囲、悪用事例、対策方法についてわかりやすく解説します。
CVE-2025-32756とは?
CVE-2025-32756は、Fortinet製品の管理用API(HTTP/HTTPS)で発生するスタックベースのバッファオーバーフロー脆弱性です。攻撃者は細工したHTTPリクエストを送信することで、認証を経ずに管理者権限(root)での任意コード実行を可能にします。
CVSS v3.1は9.8(クリティカル)と評価されており、危険性が非常に高い脆弱性であることから米国CISAも2025年5月14日に本脆弱性を悪用事例カタログに登録しています。
▼ FortiGard Lab
脆弱性の評価
integrity360の脆弱性データベースによると以下の評価がされています。
| 項目 | 評価 |
|---|---|
| 攻撃元 | ネットワーク経由(AV:N) |
| 攻撃複雑度 | 低(AC:L) |
| 認証 | 不要(PR:N) |
| ユーザ操作 | 不要(UI:N) |
| スコープ変更 | なし(S:U) |
| 機密性・完全性・可用性への影響 | 高(C:H/I:H/A:H) |
影響を受けるFortinet製品とバージョン
影響をうけるFortinet製品は以下のとおりです。
| 製品名 | 影響するバージョン |
|---|---|
| FortiVoice | 6.4.0~6.4.10、7.0.0~7.0.6、7.2.0 |
| FortiRecorder | 6.4.0~6.4.5、7.0.0~7.0.5、7.2.0~7.2.3 |
| FortiMail | 7.0.0~7.0.8、7.2.0~7.2.7、7.4.0~7.4.4、7.6.0~7.6.2 |
| FortiNDR | 7.0.0~7.0.6、7.2.0~7.2.4、7.4.0~7.4.7、7.6.0 |
| FortiCamera | 1.1系全バージョン、2.0系全バージョン、2.1.0~2.1.3 |
※ FortiOS自体は対象外です。
CVE-2025-32756の攻撃シナリオ
攻撃者は特定の管理用クッキー(APSCOOKIE)のフィールドに不正なデータを送り込み、スタックバッファを溢れさせます。これにより、管理APIを介して遠隔でroot権限のコード実行が可能になります。実際に観測された攻撃では、攻撃者がネットワークをスキャンし、デバッグモードを有効化してシステムログを取得したり、悪意のあるcronジョブを設置してマルウェアを配布したりする事例が報告されています。
Fortinetは実際の悪用を確認しており、米CISAも本脆弱性を悪用事例カタログに掲載しました。2025年5月時点で、基本的な動作を確認できるPoC(概念実証コード)が公開されており、攻撃の難易度は低く、注意が必要です。
Fortinet公式の対応と推奨される対策方法
Fortinetはセキュリティアドバイザリ(FG-IR-25-254)を公開し、各製品の修正版をリリースしています。影響製品は早急にアップデートを適用してください。具体的なアップデート対象バージョンは以下の通りです。
| 製品名 | 推奨アップデートバージョン |
|---|---|
| FortiVoice | 7.2.1以降、7.0.7以降、6.4.11以降 |
| FortiMail | 7.6.3以降、7.4.5以降、7.2.8以降、7.0.9以降 |
| FortiRecorder | 7.2.4以降、7.0.6以降、6.4.6以降 |
また、管理用HTTP/HTTPSインタフェースを無効化することで、一時的な緩和措置も可能です。
おわりに
CVE-2025-32756は攻撃難易度が低く、既に攻撃が確認されていることから迅速な対応が不可欠です。この脆弱性が悪用されると、機密情報の漏洩、システムの停止、さらにはネットワーク全体への拡散といった深刻な被害が発生する可能性があります。
影響製品をお使いの場合は、公式のセキュリティアドバイザリを確認し、最新バージョンへのアップデートを早急に実施しましょう。また、一時的に管理用インタフェースを無効化するなどの緩和措置も併せて検討してください。
コメント