
2025年5月セキュリティ研究者らにより、Fortinet製品の一部に影響を及ぼす深刻なゼロデイ脆弱性(CVE-2025-32756)に関する詳細なPoC(概念実証コード)が公開されました。この脆弱性は既に実際のサイバー攻撃にも悪用されており、対象製品を利用している企業にとって、早急な対応が求められる状況となっています。
技術的背景の詳細解説:CVE-2025-32756 はなぜ危険なのか
CVE-2025-32756は、Fortinet製品に共通する内部ライブラリ libhttputil.so
に含まれる関数 cookieval_unwrap()
において、スタックベースのバッファオーバーフローが発生する設計上の不備に起因しています。この関数は、HTTPリクエストのCookieヘッダ内に含まれる APSCOOKIE
というパラメータを処理する際に使用され、認証処理やセッションの復元に関連する重要な部分を担っています。
問題の本質は、APSCOOKIE
内のAuthHash
というフィールドに対してBase64デコードされた値を固定長(16バイト)のバッファに書き込む際に、長さ検証が不十分であるという点です。
脆弱なバージョンでは、デコード後のバイト列が16バイトを超えても書き込みが継続され、スタック上の隣接メモリ領域が破壊されます。結果として、関数のリターンアドレスやフレームポインタといった制御情報が上書きされることで、攻撃者が任意のコードを実行できる状態が生まれます。
この攻撃は、外部からのHTTPリクエスト1本で完結するため、認証やログインが不要であり、侵入のトリガーとして極めて低コストかつ高効果です。また、攻撃に成功すれば、システム上で任意のバイナリコードを実行する権限が得られるため、マルウェアの展開、バックドアの設置、資格情報の取得など、あらゆる攻撃が可能となります。
Horizon3の調査によれば、この脆弱性の修正は、対象バッファに書き込む前に AuthHash
の長さを正確に検証し、16バイトを超える場合は処理を中止するようにする、という比較的シンプルな修正で対処されていました。
逆に言えば、このような基本的な境界チェックが欠けていたこと自体が、長年使われてきたコードにおける「安全性の過信」を示しています。
さらに、この脆弱性の悪用はASLR(アドレス空間配置のランダム化)などの現代的な防御機構をバイパスすることも可能です。攻撃者はスタック上の予測可能なアドレスにシェルコードを置いたり、ROP(Return-Oriented Programming)チェーンを組んだりすることで、OSやコンパイラの保護機能をかいくぐり、正規のプロセス空間内で悪意のある命令を実行できます。
この脆弱性の危険性をさらに高めているのが、概念実証(PoC)が公開済みである点です。
PoCでは、エクスプロイトに必要なCookie構造やHTTPリクエストの形式が明確に示されており、一定のスキルがあれば誰でも再現可能です。これにより、組織を問わず広範なスキャン活動や自動化された攻撃にさらされるリスクが一気に高まりました。
加えて、Fortinet製品の特性上、これらのサービスは多くの企業ネットワークで「通信の中継点」や「ゲートウェイ」として利用されており、境界防御の突破点として攻撃者にとって極めて魅力的なターゲットです。一度乗っ取られれば、内側のネットワークに静かに侵入し、他システムへの横展開(Lateral Movement)も容易になります。
実際に確認された攻撃手法と活動
Fortinetの製品セキュリティチームは、すでにこの脆弱性を利用した実環境での悪用を確認しています。とくに標的となっているのはFortiVoiceで、観測された攻撃にはネットワーク全体のスキャン、認証情報の収集、システムクラッシュログの削除といった行為が含まれていました。
さらに攻撃者は、FastCGI(fcgi)のデバッグ機能を有効化し、SSH認証などのログイン情報を傍受する試みや、マルウェアの設置、さらにはcron
ジョブを仕込んで継続的な認証情報の窃取を行うなど、組織内への侵入と長期的な潜伏を前提とした活動を行っていることが明らかになっています。
このような動向を受けて、米国CISA(サイバーセキュリティ・インフラセキュリティ庁)は、Fortinetの発表からわずか1日後の2025年5月14日に本脆弱性を「Known Exploited Vulnerabilities(KEV)」カタログに追加しました。連邦機関に対しては、6月4日までに必ず対策を講じるよう義務づけがなされており、その緊急性の高さがうかがえます。
まずはパッチ適用を最優先に
Fortinetは現在、該当製品群に対する修正版ファームウェアを提供しています。対象のバージョンは製品により異なり、たとえばFortiVoiceの場合は7.2.1、7.0.7、6.4.11以降が安全なバージョンに該当します。FortiMailに関しても、7.6.3、7.4.5、7.2.8、7.0.9といった更新済みバージョンが推奨されています。
システム停止などの理由で今すぐにアップデートできない場合には、HTTP/HTTPSベースの管理用インターフェースを無効化することで、攻撃経路を一時的に遮断することも可能です。
ただし、これはあくまで一時的な措置であり、恒久的な安全を確保するには必ずファームウェアの更新が必要です。