Fortinet udostępnił aktualizacje naprawiające krytyczną lukę w zabezpieczeniach w FortiSIEM, która mogła umożliwić nieautoryzowanemu napastnikowi wykonanie kodu na podatnych instancjach. Luka, oznaczona jako CVE-2025-64155, otrzymała ocenę 9,4/10 w systemie CVSS, co wskazuje na bardzo wysoki poziom zagrożenia.
Problem dotyczy wywoływania poleceń systemowych (tzw. OS command injection) w procesie phMonitor — kluczowej usłudze FortiSIEM odpowiedzialnej za monitorowanie stanu systemu, rozdzielanie zadań i komunikację między węzłami za pośrednictwem portu TCP 7900. phMonitor przyjmuje żądania dotyczące zapisu zdarzeń do Elasticsearch i w niektórych przypadkach uruchamia skrypt powłoki z parametrami pochodzącymi od nadawcy żądania. Takie postępowanie otwiera drogę do wstrzyknięcia argumentów (argument injection), które mogą zostać wykorzystane do zapisania dowolnego pliku na dysku w kontekście konta administratora.
Z opisu ataku wynika, że ograniczona możliwość zapisu pliku może zostać użyta jako pierwszy etap przejęcia systemu. Atakujący mógłby wstrzyknąć polecenie curl zapisujące tzw. reverse shell do pliku /opt/charting/redishb.sh. Ten plik jest zapisywalny przez konto administratora i jednocześnie wykonywany co minutę przez zadanie cron działające z uprawnieniami roota. W praktyce oznacza to, że zapisanie takiego pliku pozwala na eskalację uprawnień z konta administratora do roota i całkowite przejęcie urządzenia FortiSIEM. Kluczowe jest tu to, że phMonitor udostępnia kilka obsługiwanych komend, które nie wymagają uwierzytelnienia, więc wystarczy dostęp sieciowy do portu 7900, by zainicjować atak.
Fortinet podkreśla, że luka dotyczy wyłącznie węzłów typu Super i Worker. Naprawy zostały wprowadzone w następujących wersjach FortiSIEM:
- FortiSIEM 6.7.0–6.7.10 (należy przejść na wersję z poprawką)
- FortiSIEM 7.0.0–7.0.4 (należy przejść na wersję z poprawką)
- FortiSIEM 7.1.0–7.1.8 (zaktualizować do 7.1.9 lub nowszej)
- FortiSIEM 7.2.0–7.2.6 (zaktualizować do 7.2.7 lub nowszej)
- FortiSIEM 7.3.0–7.3.4 (zaktualizować do 7.3.5 lub nowszej)
- FortiSIEM 7.4.0 (zaktualizować do 7.4.1 lub nowszej)
- FortiSIEM 7.5 (nie dotyczy)
- FortiSIEM Cloud (nie dotyczy)
Odkrywcą i zgłaszającym lukę jest badacz Zach Hanley z Horizon3.ai, który opisał problem 14 sierpnia 2025 roku. Według niego atak składa się z dwóch etapów: najpierw nieautoryzowana możliwość wstrzyknięcia argumentu prowadząca do zapisu pliku i zdalnego wykonania kodu jako użytkownik admin, a następnie mechanizmu nadpisania pliku prowadzącego do eskalacji uprawnień do roota i całkowitego przejęcia urządzenia.
W tym samym czasie Fortinet wydał poprawkę także dla innej krytycznej podatności w FortiFone, oznaczonej jako CVE-2025-47855 z oceną CVSS 9,3. Ta luka mogła pozwolić nieautoryzowanemu napastnikowi na uzyskanie konfiguracji urządzenia za pomocą specjalnie spreparowanego żądania HTTP(S) do strony portalu webowego. Dotyczy ona następujących wersji FortiFone:
- FortiFone 3.0.13–3.0.23 (zaktualizować do 3.0.24 lub nowszej)
- FortiFone 7.0.0–7.0.1 (zaktualizować do 7.0.2 lub nowszej)
- FortiFone 7.2 (nie dotyczy)
Użytkownicy powinni jak najszybciej zastosować dostępne aktualizacje, aby zapewnić optymalną ochronę. Jako tymczasowe rozwiązanie dla luki w FortiSIEM (CVE-2025-64155) Fortinet zaleca ograniczenie dostępu do portu phMonitor (TCP 7900), co zmniejsza ryzyko, że nieautoryzowana osoba będzie mogła skorzystać z nieuwierzytelnionych handlerów udostępnianych przez usługę.