Fortinet、FortiVoiceシステムへの攻撃で悪用されたゼロデイを修正：CVE-2025-32756

佐々山 Tacos

2025.05.14

5月14日：サイバーセキュリティ関連ニュース

Fortinet、FortiVoiceシステムへの攻撃で悪用されたゼロデイを修正：CVE-2025-32756

Help Net Security – May 13, 2025

Fortinetは13日、電話/会議システム「FortiVoice」に対する攻撃で悪用された重大なゼロデイ脆弱性CVE-2025-32756のパッチをリリース。併せてその他複数の脆弱性も修正している。

CVE-2025-32756は、FortiVoice、FortiMail、FortiNDR、FortiRecorder、FortiCameraにおけるスタックベースのオーバーフローの脆弱性。認証されていない攻撃者が特別に細工されたHTTPリクエストを特定のAPIに送信することによりこれを悪用すると、リモートでコードやコマンドを実行できるようになるとされる。CVSSv3スコアは9.6で、深刻度は「Critical」と評価されている。

Fortinet PSIRTのアドバイザリによれば、同社はFortiVoiceへの実際の攻撃でこの脆弱性が悪用されたのを観測しており、その際攻撃者は以下のようなアクションを実施していたという。

デバイスネットワークのスキャン
システムクラッシュログの消去
fcgiデバッグ機能を有効化することによるシステムからの認証情報の収集またはSSHログイン試行

影響を受ける製品のユーザーには修正版リリースへのアップグレードが推奨されているほか、FortiVoiceをすぐにはアップグレードできないユーザーに対しては、システムのHTTP/HTTPS管理インターフェースを無効化するという一時的なワークアラウンドも存在する。また公式アドバイザリには、観測された攻撃に関連するIPアドレスなどのIoCが掲載されている。

上記以外にも、Fortinetは複数製品に影響を与える脆弱性数件について開示しており、このうち特に深刻度が高いものは以下。

CVE-2025-22252（FortiOS、FortiProxy、FortiSwitchManager）：TACACS+認証でASCII認証を使用する設定になっている場合、重要な機能に対する認証の欠如（CWE-306）により、既存の管理者アカウントを認識している攻撃者が認証をバイパスし、有効な管理者として当該デバイスへアクセスできる恐れがあるというもの。CVSSv3スコアは9.0で、深刻度は「Critical」との評価。
CVE-2025-25251（FortiClient Mac）：不正な認可（CWE-863）の脆弱性により、ローカルの攻撃者が細工したXPCメッセージを通じて特権を昇格できる可能性があるというもの。CVSSv3スコアは7.4で、深刻度は「High」との評価。

SAP、最近の攻撃で悪用された第2のゼロデイにパッチ：CVE-2025-42999

BleepingComputer – May 13, 2025

SAPは12日、SAP NetWeaverにおける重大な脆弱性CVE-2025-42999に対するパッチをリリース。この脆弱性は、先月修正された別の脆弱性CVE-2025-31324とともに、実際の攻撃でゼロデイとして悪用されていたという。

CVE-2025-42999は、SAP NetWeaverのVisual Composerのメタデータアップローダーにおける安全でないデシリアライゼーションの脆弱性で、特権ユーザーに悪用された場合、ホストシステムの機密性、完全性、可用性の侵害に繋がる恐れがあるとされる。

SAP自身はCVE-2025-42999の悪用についてまだ認めていないものの、サイバーセキュリティ企業OnapsisのCTOであるJuan Pablo Perez-Etchegoyen氏によれば、攻撃者らは2025年1月から同脆弱性およびCVE-2025-31324を連鎖させて利用していたという。同氏は、両脆弱性の組み合わせにより、システム上で何の特権も有していない状態で任意のコマンドをリモートで実行することが可能になったと説明した。なおCVE-2025-31324は4月の時点ですでに攻撃での悪用が報じられていたゼロデイで、Forescout Technologies社のリサーチチームVedere Labsは、このゼロデイを用いる攻撃に中国の脅威アクターが関与している可能性が高いと報告している。

SAPの管理者には、NetWeaverインスタンスへ速やかにパッチを適用することや、Visual Composerサービスの無効化を検討することが推奨されている。