Fortinet este din nou în centrul atenției: un cercetător de la Horizon3.ai a semnalat o vulnerabilitate critică în FortiSIEM care este deja exploatată activ, atacurile vizând sistemele care rulează FortiSIEM. La fel ca incidentele recente legate de FortiWeb și exploatări atribuite grupului Volt Typhoon, acest caz arată cât de rapid se pot transforma vulnerabilitățile grave în pericole reale când apare și un cod proof‑of‑concept public.
Zach Hanley de la Horizon3.ai a raportat problema identificată ca CVE-2025-64155, descriind-o ca rezultatul a două deficiențe care permit scriere arbitrară cu drepturi de admin și escaladare a privilegiilor până la root. Fortinet spune că rădăcina problemei este o neutralizare neadecvată a caracterelor speciale într‑o comandă de sistem, OS Command Injection (CWE-78), ceea ce poate permite unui atacator neautentificat să ruleze cod sau comenzi neautorizate prin pachete TCP special realizate.
Analiza tehnică a Horizon3.ai arată că phMonitor, un serviciu din FortiSIEM, expune zeci de handler‑e de comandă apelabile de la distanță fără autentificare. Cercetătorii au publicat și un PoC care demonstrează cum un argument injectat poate suprascrie fișierul /opt/charting/redishb.sh, permițând astfel executarea de cod cu privilegii root. Vulnerabilitatea afectează versiunile FortiSIEM 6.7 până la 7.5. Remediile sunt incluse în versiunile FortiSIEM 7.4.1 sau ulterioare, 7.3.5 sau ulterioare, 7.2.7 sau ulterioare și 7.1.9 sau ulterioare. Clienții care folosesc FortiSIEM 7.0.0–7.0.4 și 6.7.0–6.7.10 sunt sfătuiți să migreze la o versiune care conține patch‑ul.
Pentru organizațiile care nu pot aplica imediat actualizările, Fortinet a publicat un workaround temporar care recomandă restricționarea accesului la portul phMonitor, 7900. La doi zile după divulgarea inițială, firma de threat intelligence Defused a raportat exploitări active observate în honeypots, indicând că actorii malițioși deja exploatează această cale. Horizon3.ai oferă și indicatori de compromis pentru detectare: administratorii pot căuta urme de abuz în logurile phMonitor din /opt/phoenix/log/phoenix.logs, verificând intrările PHL_ERROR pentru URL‑uri de payload.
Până acum, Fortinet nu a actualizat avertismentul de securitate pentru a confirma explicit exploatarea în atacuri, iar publicații precum BleepingComputer au încercat să obțină clarificări suplimentare fără răspuns imediat. Acest episod urmează unor cazuri recente în care Fortinet a raportat exploatări asupra FortiWeb, inclusiv CVE-2025-58034, sau a emis remedieri discrete precum pentru CVE-2025-64446; în februarie 2025 a fost dezvăluită utilizarea unor vulnerabilități FortiOS (CVE-2023-27997 și CVE-2022-42475) de către grupul Volt Typhoon pentru a instala trojanul Coathanger într‑o rețea a Ministerului Apărării din Țările de Jos. Nu este surprinzător că un patch urmat de publicarea unui PoC poate atrage rapid atenția atacatorilor; rămâne un memento că aplicarea promptă a actualizărilor și segmentarea accesului la servicii critice sunt cruciale.
CVE-2025-64155 este exploatată activ. Cazul subliniază riscul ridicat când un serviciu expune handler‑e fără autentificare și apare un PoC public; din acest motiv măsurile concrete, actualizarea la versiunile 7.4.1/7.3.5/7.2.7/7.1.9, blocarea sau restricționarea portului 7900 și verificarea logurilor din /opt/phoenix/log/phoenix.logs pentru intrări PHL_ERROR, sunt vitale. Monitorizarea traficului către phMonitor și inventarierea versiunilor FortiSIEM din rețea ajută la prioritizarea intervențiilor. Ți‑ai verificat deja versiunea de FortiSIEM și portul 7900 în infrastructura ta?
Fii primul care comentează