Kritická zraniteľnosť Fortinet FortiSIEM

Spoločnosť Fortinet opravila kritickú zraniteľnosť FortiSIEM, ktorá umožňuje kontrolovať obsah požiadaviek TCP a následne vykonávať kód a príkazy s oprávneniami administrátora, bez potreby autentifikácie.

Zraniteľné systémy:

• FortiSIEM 7.4 – 7.4.0
• FortiSIEM 7.3 – 7.3.0 až 7.3.4
• FortiSIEM 7.2 – 7.2.0 až 7.2.6
• FortiSIEM 7.1 – 7.1.0 až 7.1.8
• FortiSIEM 7.0 – 7.0.0 až 7.0.4
• FortiSIEM 6.7 – 6.7.0 až 6.7.10

Opis činnosti:

CVE-2025-64155 (CVSS skóre 9,8)

Kritická zraniteľnosť FortiSIEM sa nachádza v službe phMonitor, konkrétne vo funkcii phMonitorProcess::initEventHandler. Vyplýva z možnosti prístupu ku jej správcom príkazov bez overenia používateľa a nevhodnej sanitizácie špeciálnych znakov používaných v príkazoch. Vzdialenému neautentifikovanému útočníkovi umožňuje vzdialene vykonávať kód a príkazy s administrátorskými oprávneniami, pomocou špeciálne vytvorených požiadaviek TCP.

Možné škody:

• Vzdialené vykonávanie kódu
• Eskalácia oprávnení

Odporúčania:

Bezodkladná aktualizácia FortiSIEM aspoň na verziu 7.4.1, 7.3.5, 7.2.7 alebo 7.1.9.

Pokiaľ aktualizácia nie je možná, v rámci mitigácie zraniteľnosti môžete obmedziť prístup na port služby phMonitor, TCP/7900.

Spoločnosť Fortinet odporúča umiestniť FortiSIEM na izolovanú časť siete za firewall, bez prístupu z internetu.

Odkazy:

• https://fortiguard.fortinet.com/psirt/FG-IR-25-772
• https://horizon3.ai/attack-research/disclosures/cve-2025-64155-three-years-of-remotely-rooting-the-fortinet-fortisiem/
• https://arcticwolf.com/resources/blog/cve-2025-64155/