FortiSIEMに未認証RCEのクリティカル脆弱性、PoC公開で悪用リスクが急上昇(CVE-2025-64155/CVE-2025-25256)

セキュリティニュース

投稿日時: 更新日時:

FortiSIEMに未認証RCEのクリティカル脆弱性、PoC公開で悪用リスクが急上昇(CVE-2025-64155/CVE-2025-25256)

FortinetのSIEM製品「FortiSIEM」に対し、未認証のリモート攻撃者が細工したTCPリクエストを送るだけで、OSコマンド実行(RCE)に至り得るクリティカルな脆弱性が報じられています。2026年1月中旬にかけて、技術詳細の解説とPoC(概念実証)コードの公開が進み、実運用環境での悪用リスクが一段上がっています。

脆弱性の概要

分析では、FortiSIEM内部コンポーネント間連携に使われるphMonitorサービスが攻撃の起点になり得ること、さらに複数年にわたり同サービスが脆弱性の入口になってきた経緯が示されています。
また、OSコマンドの取り扱いにおける入力値の無害化不備に起因し、リモートから認証不要でコマンド実行に至る恐れがある点も確認されています。


加えて、技術詳細とPoCが公開されているため、防御側の準備状況に関係なく「試行」されやすい環境になっています。

 

対象バージョン

FortiSIEMのオンプレ環境を前提に、少なくとも次の系統は「修正版未満」であれば影響を受ける前提で点検してください(構成やノード種別によって影響範囲が変わる点も含め、後述の暫定策とセットで評価が必要です)。

  • 7.4系:7.4.1未満(例:7.4.0)

  • 7.3系:7.3.5未満(例:7.3.0〜7.3.4)

  • 7.2系:7.2.7未満

  • 7.1系:7.1.9未満(例:7.1.0〜7.1.8)

  • 7.0系/6.7系:影響が示されており、サポート状況によっては修正提供の対象外となるため、実質的に「上位系への移行」が必要になります。

また、影響ノードについては「Super/Workerが対象でCollectorは対象外」との整理が報じられています。
加えて、FortiSIEM 7.5およびFortiSIEM Cloudは影響を受けない旨が案内されています。

対策バージョン

以下のバージョンへの更新が推奨されています。まずはここをゴールに、社内の標準手順(検証→展開→監視)で進めるのが現実的です。

  • FortiSIEM 7.4.1 以降

  • FortiSIEM 7.3.5 以降

  • FortiSIEM 7.2.7 以降

  • FortiSIEM 7.1.9 以降

パッチ適用が間に合わない場合の暫定策

ベンダーが示す代表的な回避策は、phMonitorのポート(7900)へのアクセス制限です。外部から到達できる状態はもちろん、社内でも「監視・管理に必要な最小範囲」以外は閉じる必要があります。

参照

CVE-2025-64155: Three Years of Remotely Rooting the Fortinet FortiSIEM