Source:https://thehackernews.com/2025/12/fortinet-ivanti-and-sap-issue-urgent.html
🛡 概要
Fortinet、Ivanti、SAPが重大な脆弱性に対する緊急パッチを公開しました。悪用されると認証回避や任意コード実行に至る恐れがあります。対象は以下の通りです。
- Fortinet: CVE-2025-59718、CVE-2025-59719(CVSS 9.8、SAML署名検証不備によりFortiCloud SSO経由の認証回避。影響製品: FortiOS / FortiWeb / FortiProxy / FortiSwitchManager。FortiCloud SSOは工場出荷時は無効)
- Ivanti Endpoint Manager (EPM): CVE-2025-10573(CVSS 9.6、管理者セッションでの任意JavaScript実行に至る蓄積型XSS)。加えてCVE-2025-13659、-13661、-13662(高深刻度、うちCVE-2025-13662は署名検証不備を含み、リモート非認証で任意コード実行が可能となり得る)。修正はEPM 2024 SU4 SR1で提供済み。
- SAP: CVE-2025-42880(CVSS 9.9、SAP Solution Managerのコードインジェクション)、CVE-2025-55754(CVSS 9.6、SAP Commerce Cloud内のApache Tomcatの複数脆弱性)、CVE-2025-42928(CVSS 9.1、SAP jConnect SDKの逆直列化によりRCE、要高権限)。
早期適用が不可欠です。Fortinetでは更新までの暫定措置としてFortiCloud SSOログイン機能を無効化してください(後述)。
🔍 技術詳細
FortinetのCWE-347(暗号署名の検証不備)は、SAMLアサーション署名の検証ロジックに欠陥がある場合に、攻撃者が細工したSAMLメッセージでFortiCloud SSOの認証を回避できる問題です。影響はFortiCloud SSOログインが有効化されたデバイスに限定され、管理者がFortiCare登録時に当該オプションを許可した構成で成立します。外部から管理面に到達できる環境では、認証なしで管理コンソールへアクセスされる重大なリスクとなります。
Ivanti EPMのCVE-2025-10573は、非認証の攻撃者が一次EPM Webサービスにアクセスし、偽装エンドポイントや不正な報告データを登録して管理ダッシュボード内の表示データを汚染(蓄積型XSS)することで、管理者が通常の閲覧操作を行った瞬間にブラウザ上で任意のJavaScriptが実行され、セッション乗っ取りや管理権限の横取りに発展します。さらにCVE-2025-13659/13661/13662は、リモート非認証で任意コード実行に至る高リスクの不備であり、CVE-2025-13662はパッチ管理コンポーネントにおける署名検証不備が根因です。信頼されたアップデート経路を悪用された場合、改ざんバイナリの配布・展開が起こり得ます。
SAPでは、Solution Managerにリモート有効な関数モジュールが存在し、認証済み攻撃者が任意コード注入を行えるCVE-2025-42880、Commerce CloudのTomcatに複数の高深刻度欠陥(CVE-2025-55754)、jConnect SDKの逆直列化欠陥(CVE-2025-42928、RCEに至るが高権限が必要)が修正されました。SolManの中枢性から、環境全体への横展開リスクが特に高い点に留意が必要です。
⚠ 影響
- 認証回避により、機器・管理コンソールへの不正ログイン、設定改変、バックドア設置、ログ消去が可能。
- 管理者セッション奪取により、認証情報の窃取、ポリシー改変、遠隔コード配布が発生。
- SAP中枢(Solution Manager、Commerce Cloud)でのRCEは業務停止やデータ漏えい、サプライチェーン影響に直結。
🛠 対策
- パッチ適用: Fortinetは各製品の最新修正版に更新。Ivanti EPMは2024 SU4 SR1以降へ更新。SAPは12月のセキュリティアップデートを即時適用。
- Fortinet暫定回避策: FortiCloud SSOログインを無効化。
- GUI: System → Settings → FortiCloud SSOによる管理者ログインをオフ
- CLI: 下記を実行
config system global set admin-forticloud-sso-login disable end - 管理面の曝露最小化: 管理GUI/APIは管理用ネットワーク/VPNに限定し、インターネットから直接到達不可とする。IP許可リストと多要素認証を必須化。
- ブラウザ側防御: 管理コンソールに強固なCSP、HTTPOnly/SameSiteクッキー、入力値のサーバ側エスケープ/サニタイズを適用(ベンダーパッチを前提)。
- SAP強化: 不要なリモート有効関数モジュールの無効化、最小権限ロールの適用、Tomcat強化設定(最新Java/TLS設定、不要コネクタ停止)。
📌 SOC視点
- Fortinet: FortiCloud SSO関連ログの成功/失敗イベント、同一セッションでの地理的矛盾、設定変更ログ(admin-forticloud-sso-loginの状態変化)、SAML応答検証エラーや想定外のIdP/Issuer値。
- Ivanti EPM: 新規エンドポイント登録の急増、異常なホスト名/シリアルの登録、ダッシュボード描画時のスクリプトエラーやDOMベース挙動、管理者クッキー/トークン再利用の兆候、Webサーバの5xx/4xxスパイク。
- SAP: Security Audit Log/SM21におけるRFC/関数モジュール呼び出しの異常、jConnect経由の予期しない入力サイズ/型、Tomcatアクセスログの不審ペイロード、JVM例外や逆直列化警告。
- EDR/NDR: 管理端末のブラウザからの不審な外部C2接続、管理サーバ上の新規バイナリ配置とプロセス生成連鎖、署名未検証ファイルの実行試行。
📈 MITRE ATT&CK
- TA0001 初期侵入: T1190 Exploit Public-Facing Application(Ivanti EPM Webサービス、SAPの公開コンポーネント/Tomcatの欠陥悪用)。根拠: 公開サービスへの非認証リクエストで任意コード実行/汚染が成立。
- TA0006 資格情報アクセス: T1556.009 Modify Authentication Process: SAML Tokens(FortiCloud SSOのSAML署名検証不備)。根拠: 署名検証バイパスにより正規SAMLを装い認証を迂回。
- TA0002 実行: T1059.007 JavaScript(Ivantiの蓄積型XSSにより管理者ブラウザでJS実行)。根拠: ダッシュボード閲覧時にクライアント側コードが起動。
- TA0002/TA0003: T1203 Exploitation for Client Execution(管理UIが悪性コンテンツを処理してコード実行)。根拠: 管理者の通常操作がトリガ。
- TA0005 防御回避: T1553 Subvert Trust Controls(署名検証不備により信頼境界を迂回)。根拠: 不適切な署名検証を突いたコード/更新の受け入れ。
🏢 組織規模別助言
- 小規模(〜50名): FortiCloud SSOを即無効化し、該当機器とEPM/SAPの更新を最優先。管理面はVPN必須に統一。バックアップとロールバック手順を適用前に検証。
- 中規模(50〜500名): 変更管理の下で段階的パッチ適用、EPMダッシュボードのアクセスを最小権限に再設計。SAPのリモート有効関数を棚卸・停止。WAF/リバプロで管理面を閉域化。
- 大規模(500名以上): 影響資産のSBOM/CMDB突合で完全特定、検証環境での回帰試験後にブルー/グリーン展開。SIEMでSAML/SSO、EPM登録、SAP RFCのユースケース検知をルール化し24×7監視。
🔎 類似事例
- Fortinet SSL-VPNのCVE-2024-21762(広範に悪用されたRCE)
- Ivanti Connect SecureのCVE-2023-46805(認証回避)
- SAP NetWeaverのCVE-2020-6287(RECON、認証不要での管理操作)
🧭 次の一手
- 影響資産の棚卸(FortiOS/FortiWeb/FortiProxy/FortiSwitchManager、Ivanti EPM、SAP SolMan/Commerce Cloud/jConnect)とバージョン確認。
- FortiCloud SSOの無効化とネットワーク到達性の遮断を即時実施。
- Ivanti EPMを2024 SU4 SR1以降へ更新し、ダッシュボード閲覧端末のEDR監視を強化。
- SAP 12月パッチ適用後、不要なリモート機能を停止し監査ログを常時収集。
- その後、SAML/SSOハードニングと管理面ゼロトラスト手順の整備ガイドを参照。
