Fortinetの脆弱性CVE-2025-32756、PoCコードがリリースされる

nosa

2025.05.27

5月27日：サイバーセキュリティ関連ニュース

Fortinetの脆弱性CVE-2025-32756、PoCコードがリリースされる　迅速なパッチ適用を呼びかけ

HackRead – May 26, 2025

セキュリティ企業Horizon3.aiの研究者チームにより、さまざまなFortinet製品に影響を与える深刻な脆弱性CVE-2025-32756のPoCコードがリリースされた。

この脆弱性はスタックベースのバッファオーバーフローにより、認証されていない攻撃者にリモートコード実行を許すもの。FortinetのセキュリティチームFortiGuard Labsは5月13日にアラートを発出し、実際に攻撃で悪用されていることを明らかにした。 FortiCamera、FortiMail、FortiNDR、FortiRecorder、FortiVoiceの各Fortinet製品が攻撃リスクにさらされており、翌14日には米CISAのKEVカタログに追加されている。

Hackread.comに共有されたHorizon3.aiの研究結果によると、この問題は共有ライブラリに存在し、APSCOOKIEと呼ばれる特定のセッション管理Cookieの処理方法、具体的には同Cookie内のAuthHashフィールドのデコードと処理に起因するという。FortiGuard Labのアドバイザリでは、システムが影響を受けているかどうかを特定する方法に加え、この深刻な脅威から保護するための対策について詳細な情報が提供された。

CVE-2025-32756は基本的に管理APIの脆弱性であり、システムが限られたスペースに過剰なデータを詰め込もうとすることで引き起こされる。この種の脆弱性は古くから存在し、ハッキングの手法としても1990年代のものを彷彿とさせるが、今回のゼロデイは共通脆弱性評価システム（CVSS）で10点満点中9.8点と深刻度が極めて高い。

「すべて拒否」ボタンの明示と可視化も義務　独司法が判断

Cybernews – 26 May 2025

インターネット利用中にCookie同意バナーが表示され、「すべて許可」ボタンをクリックさせられることが多々あるものの、ドイツのハノーバー行政裁判所は「すべて拒否」ボタンも同様に表示し、はっきり見えるようにしなければならないとの判断を示した。

ユーザーに「すべて許可」ボタンをクリックするよう促すバナーを使ったWebサイトは、そもそも欧州一般データ保護規則（GDPR）およびドイツ法に抵触する。これを根拠に、独ニーダーザクセン州のデータ保護担当長官は「選択肢に『すべて許可』がある場合、Webサイト運営者はCookie同意を求める同意バナーの第一階層に、はっきり見える『すべて拒否』ボタンを設置しなければならない」と指摘。行政裁判所は判決理由において、「同意バナーはCookie同意を明示的に促し、拒否を阻止するものであってはならない」と説明した。

同裁判所は、以下のようなケースに該当するCookieバナーのレイアウトとデザインを違反と認定したという。

Cookieの拒否を承認よりも複雑にしている
バナーを繰り返し表示し、ユーザーに同意を迫っている
「最適なユーザーエクスペリエンス」という説明と「同意して閉じる」ボタンでユーザーを誤解させている
関与するパートナーやサードパーティサービスの数が明示されていない
同意の撤回とサードパーティによるデータ処理に関する情報が隠されている

この判決はインターネットユーザーのデータ保護権を強化するものであり、Cookie設定やユーザーデータの処理前に有効な同意を得ていないヨーロッパのWebサイト運営者すべてに影響を与える可能性がある。

ヨーロッパでは各国監視機関がCookie同意を強要する慣行との戦いを続けており、オランダのデータ保護当局は先日、Cookieやその他のトラッカーを不正に設置する許可を求めていた5組織を特定。英国の監視機関も一昨年、国内Webサイトの広告Cookieを「すべて承認」または「すべて拒否」できるようにするため、30日間の対応期限を設定して改善を求めた。