セキュリティ

SECURITY

公開：2025-05-22

Fortinet製品の深刻な脆弱性CVE-2025-32756が公開、複数製品に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Fortinet製品の脆弱性CVE-2025-32756が公開された
• FortiVoice、FortiRecorder、FortiMail、FortiNDR、FortiCameraの複数バージョンに影響
• リモートの認証不要の攻撃者による任意コード実行が可能

Fortinet製品の脆弱性情報公開

Fortinet社は2025年5月13日、複数の製品における深刻な脆弱性CVE-2025-32756を公開した。この脆弱性は、スタックベースのバッファオーバーフロー（CWE-121）に起因し、リモートの認証不要の攻撃者による任意コードの実行を許してしまうのだ。

影響を受ける製品は、FortiVoiceバージョン7.2.0、7.0.0～7.0.6、6.4.0～6.4.10、FortiRecorderバージョン7.2.0～7.2.3、7.0.0～7.0.5、6.4.0～6.4.5、FortiMailバージョン7.6.0～7.6.2、7.4.0～7.4.4、7.2.0～7.2.7、7.0.0～7.0.8、FortiNDRバージョン7.6.0、7.4.0～7.4.7、7.2.0～7.2.4、7.0.0～7.0.6、FortiCameraバージョン2.1.0～2.1.3、2.0全バージョン、1.1全バージョンなど、多数に及ぶ。攻撃者は特別に細工されたハッシュクッキーを含むHTTPリクエストを送信することで、脆弱性を悪用できるのだ。

CVSSスコアは9.6と高く、深刻度がCRITICALと評価されている。Fortinet社は、速やかにパッチ適用などの対策を行うよう推奨している。この脆弱性を利用した攻撃は既に確認されており、早急な対応が求められる。

影響を受けるFortinet製品とバージョン

Fortinetセキュリティ情報

スタックベースのバッファオーバーフロー(CWE-121)について

CWE-121は、スタックベースのバッファオーバーフローと呼ばれる脆弱性だ。これは、プログラムがスタック領域にデータを書き込む際に、割り当てられた領域を超えて書き込んでしまうことで発生する。

• バッファオーバーラン
• メモリ破壊
• 任意コード実行

攻撃者は、この脆弱性を悪用して、プログラムの動作を改ざんしたり、任意のコードを実行したりすることができる。そのため、システム全体への深刻な影響を及ぼす可能性があるのだ。

CVE-2025-32756に関する考察

Fortinet製品における深刻な脆弱性CVE-2025-32756の発見は、企業のセキュリティ対策の重要性を改めて示している。迅速なパッチ適用と、定期的なセキュリティ監査の実施が不可欠だ。しかし、パッチ適用が遅れたり、適切な対策が講じられなかったりした場合、大規模なサイバー攻撃に繋がる可能性もあるだろう。

今後、同様の脆弱性が他の製品でも発見される可能性も否定できない。そのため、開発段階でのセキュリティコードレビューの徹底や、セキュアコーディングの教育など、開発プロセス全体を見直す必要があるだろう。また、攻撃手法の進化にも対応できるよう、継続的なセキュリティ対策の強化が求められる。

さらに、ユーザーへのセキュリティ意識向上のための啓発活動も重要だ。脆弱性情報の迅速な共有や、分かりやすい対策方法の提供によって、ユーザー自身によるセキュリティ対策の強化を促進する必要がある。これにより、企業とユーザー双方による多層的なセキュリティ体制の構築が可能となるだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-32756」. https://www.cve.org/CVERecord?id=CVE-2025-32756, (参照 25-05-22).
2589

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧