Fortinet remediază o vulnerabilitate critică a FortiSIEM
Sursă: https://thehackernews.com
Fortinet a lansat actualizări pentru a remedia o vulnerabilitate critică de securitate care afectează FortiSIEM și care ar putea permite unui atacator neautentificat să execute cod pe instanțele vulnerabile.
Vulnerabilitatea de injectare a sistemului de operare (OS), identificată ca CVE-2025-64155, are un scor CvSS de 9.4/10.
O neutralizare necorespunzătoare a elementelor speciale utilizate într-o vulnerabilitate de tip injectare de comenzi OS [CWE-78] în FortiSIEM poate permite unui atacator neautentificat să execute coduri sau comenzi neautorizate prin intermediul unor cereri TCP special create, a semnalat compania în cadrul unui bulletin informative.
Fortinet a afirmat că vulnerabilitatea afectează doar nodurile Super și Worker și că aceasta a fost remediată în următoarele versiuni:
FortiSIEM 6.7.0 până la 6.7.10 (migrare la o versiune remediată);
FortiSIEM 7.0.0 până la 7.0.4 (migrare la o versiune remediată);
FortiSIEM 7.1.0 până la 7.1.8 (actualizare la 7.1.9 sau o versiune superioară);
FortiSIEM 7.2.0 până la 7.2.6 (actualizare la 7.2.7 sau o versiune superioară);
FortiSIEM 7.3.0 până la 7.3.4 (actualizare la 7.3.5 sau o versiune superioară);
FortiSIEM 7.4.0 (actualizare la 7.4.1 sau o versiune superioară);
FortiSIEM 7.5 (nu este afectat);
FortiSIEM Cloud (nu este afectat).
Problema are legătură cu modul în care serviciul phMonitor al FortiSIEM – un proces backend crucial responsabil pentru monitorizarea stării de funcționare, distribuirea sarcinilor și comunicarea între noduri prin portul TCP 7900 – gestionează cererile primite legate de înregistrarea evenimentelor de securitate în Elasticsearch.
Acest lucru, la rândul său, apelează un script shell cu parametri controlați de utilizator, deschizând astfel calea pentru injectarea de argumente prin curl și realizarea de scrieri arbitrare de fișiere pe disk în contextul utilizatorului cu drepturi de admin.
Această scriere limitată a fișierului poate fi utilizată ca instrument pentru preluarea controlului complet asupra sistemului, utilizând injectarea argumentului curl pentru a scrie un reverse shell în /opt/charting/redishb.sh, un fișier care poate fi scris de un utilizator administrator și care este executat în fiecare minut de dispozitiv prin intermediul unei sarcini cron care rulează cu permisiuni la nivel de root.
Cu alte cuvinte, scrierea unui reverse shell în acest fișier permite escaladarea privilegiilor de la administrator la root, acordând atacatorului acces nelimitat la dispozitivul FortiSIEM. Cel mai important aspect al atacului este că serviciul phMonitor expune mai multe gestionare de comenzi care nu necesită autentificare. Acest lucru facilitează atacatorului invocarea acestor funcții prin simpla obținere a accesului la rețea la portul 7900.
Fortinet a lansat, de asemenea, remedieri pentru o altă vulnerabilitate critică de securitate în FortiFone (CVE-2025-47855, scor CvSS: 9.3/10) care ar putea permite unui atacator neautentificat să obțină configurația dispozitivului printr-o solicitare HTTP(S) special creată către pagina portalului web. Aceasta afectează următoarele versiuni ale platformei de comunicații pentru întreprinderi:
FortiFone 3.0.13 până la 3.0.23 (actualizați la 3.0.24 sau o versiune superioară);
FortiFone 7.0.0 până la 7.0.1 (actualizați la 7.0.2 sau o versiune superioară);
FortiFone 7.2 (nu este afectat).
Utilizatorilor li se recomandă să actualizeze la cele mai recente versiuni pentru o protejare optimă. Ca soluție provizorie pentru CVE-2025-64155, Fortinet recomandă utilziatorilor să limiteze accesul la portul phMonitor (7900).
Sursă: https://thehackernews.com/2026/01/fortinet-fixes-critical-fortisiem-flaw.html
