Fortinet、Ivanti、SAPの3社が提供するエンタープライズ向け製品において、認証回避や任意コード実行につながる深刻な脆弱性が相次いで公表されました。いずれも高いCVSSスコアが付与されており、設定次第では未認証の攻撃者による侵害が成立する可能性があります。各社は既に修正パッチを公開しており、影響を受ける環境では迅速な対応が求められます。 The Hacker News:Fortinet, Ivanti, and SAP Issue Urgent Patches for Authentication and Code Execution Flaws
この記事のポイント
影響のあるシステム
- FortiOS / FortiWeb / FortiProxy / FortiSwitchManager(FortiCloud SSO有効時)
- Ivanti Endpoint Manager(EPM)2024 SU4 SR1 未満
- SAP Solution Manager
- SAP Commerce Cloud(Apache Tomcat)
- SAP jConnect SDK for Sybase ASE
推奨される対策
- 各ベンダーが提供する最新パッチを速やかに適用する
- Fortinet環境では、更新までの間FortiCloud SSOを無効化する
- Ivanti EPM管理画面へのアクセス権限と利用状況を確認する
- SAP中核システムに対する権限設定とログを再点検する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE:公開された脆弱性に付与される共通識別子です。
- CVSS:脆弱性の深刻度を数値化する評価基準です。
- 認証バイパス:正規のログイン手続きを回避して不正アクセスすることです。
- リモートコード実行(RCE):遠隔から任意のコードを実行される脆弱性です。
Fortinet製品における認証回避リスク
Fortinetは、FortiOS、FortiWeb、FortiProxy、FortiSwitchManagerに影響する2件の重大な脆弱性を公表しました。これらは暗号署名の検証不備に起因するもので、FortiCloud SSOが有効な場合、細工されたSAMLメッセージを用いて未認証の攻撃者が管理者ログインを回避できる可能性があるとされています。CVSSスコアはいずれも9.8と評価されており、影響は深刻です。なお、FortiCloud SSOは初期状態では無効ですが、FortiCare登録時の設定によって有効化される点が注意事項として挙げられています。
Ivanti Endpoint ManagerのXSSとコード実行
IvantiはEndpoint Manager(EPM)に存在する複数の脆弱性を修正しました。中でもCVE-2025-10573はCVSSスコア9.6の深刻度を持つ保存型XSSで、未認証の攻撃者が管理者セッション内で任意のJavaScriptを実行できる可能性があります。この脆弱性は、偽の管理対象デバイスを登録することで管理ダッシュボードを汚染し、管理者が通常業務で画面を閲覧した際に攻撃が成立すると説明されています。Ivantiは実環境での悪用は確認していないとしていますが、管理者がダッシュボードを確認するという日常業務の中で攻撃が成立するため、実行される可能性が非常に高いと警告されています。
SAP中核システムに影響する重大欠陥
SAPは12月のセキュリティアップデートとして、複数製品に影響する14件の脆弱性を修正しました。この中には、SAP Solution Managerのコードインジェクション(CVE-2025-42880、CVSS 9.9)や、SAP Commerce Cloudに含まれるApache Tomcatの欠陥(CVE-2025-55754、CVSS 9.6)が含まれています。さらに、SAP jConnect SDKにおけるデシリアライズ脆弱性(CVE-2025-42928)では、権限を持つ攻撃者によるリモートコード実行の可能性が指摘されています。SAP環境は業務中枢を担うことが多く、影響範囲が広がる恐れがあります。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
最新の投稿
2026.01.27Coolifyで11件の重大欠陥が判明、自己ホスト環境に全面的なリスク
2026.01.26小さな設定ミスが大きな被害に──ThreatsDayが示す最新セキュリティ動向
2026.01.25中国系とされる攻撃グループ、通信事業者を狙いLinuxマルウェアと中継ノードを展開
News2026.01.24WhatsAppを悪用したワーム型攻撃、ブラジルで銀行情報窃取マルウェアが拡散
