- Новое
- Добавить закладку
- #1
Критическая уязвимость Fortinet FortiSIEM, для которой в открытом доступе имеется proof-of-concept-эксплойт, в настоящее время активно используется в атаках.
По словам исследователя в области безопасности Зака Хэнли из компании Horizon3.ai, занимающейся пентестингом и сообщившей об уязвимости (CVE-2025-64155), она представляет собой комбинацию двух проблем, которые позволяют выполнять произвольную запись с правами администратора и повышать привилегии до root-доступа.
«Уязвимость некорректной нейтрализации специальных элементов, используемых в команде ОС (“OS Command Injection”) [CWE-78] в FortiSIEM, может позволить неаутентифицированному атакующему выполнять несанкционированный код или команды с помощью специально сформированных TCP-запросов», — пояснила Fortinet во вторник, когда выпустила обновления безопасности для устранения проблемы.
Horizon3.ai опубликовала технический разбор, в котором объясняется, что первопричиной проблемы является открытый доступ к десяткам обработчиков команд в сервисе phMonitor, которые можно вызывать удалённо без аутентификации. Компания также выпустила proof-of-concept-код эксплойта, позволяющий получить выполнение кода с правами root за счёт злоупотребления внедрением аргументов для перезаписи файла /opt/charting/redishb.sh.
Уязвимость затрагивает версии FortiSIEM с 6.7 по 7.5 и может быть устранена путём обновления до FortiSIEM 7.4.1 или новее, 7.3.5 или новее, 7.2.7 или новее либо 7.1.9 или новее. Клиентам, использующим FortiSIEM 7.0.0–7.0.4 и FortiSIEM 6.7.0–6.7.10, рекомендуется мигрировать на исправленный релиз.
Во вторник Fortinet также поделилась временным обходным решением для администраторов, которые не могут сразу установить обновления безопасности: необходимо ограничить доступ к порту phMonitor (7900).
Два дня спустя компания в области threat intelligence Defused сообщила, что злоумышленники уже активно эксплуатируют уязвимость CVE-2025-64155.
«Уязвимость Fortinet FortiSIEM CVE-2025-64155 в настоящее время подвергается активной целевой эксплуатации в наших honeypot-ах», — предупредила Defused.
Horizon3.ai также предоставляет индикаторы компрометации, которые помогают защитникам выявлять уже взломанные системы. Как поясняют исследователи, администраторы могут обнаружить признаки злоупотребления, проверив журналы сообщений phMonitor по пути /opt/phoenix/log/phoenix.logs на наличие URL-адресов полезной нагрузки в строках, содержащих записи PHL_ERROR.
Fortinet пока не обновила свой бюллетень безопасности и не отметила уязвимость как эксплуатируемую в атаках. Издание BleepingComputer также обратилось к представителю Fortinet за подтверждением сообщений об активной эксплуатации, однако оперативного ответа получено не было.
В ноябре Fortinet предупреждала, что злоумышленники эксплуатируют zero-day-уязвимость FortiWeb (CVE-2025-58034), а неделей позже подтвердила, что незаметно устранила вторую zero-day-уязвимость FortiWeb (CVE-2025-64446), которая также использовалась в масштабных атаках.
В феврале 2025 года компания также сообщила, что китайская хакерская группировка Volt Typhoon использовала две уязвимости FortiOS (CVE-2023-27997 и CVE-2022-42475) для развертывания трояна удалённого доступа Coathanger в военной сети Министерства обороны Нидерландов.
- Источник: https://www.bleepingcomputer[.]com/...-fortinet-fortisiem-vulnerability-in-attacks/
По словам исследователя в области безопасности Зака Хэнли из компании Horizon3.ai, занимающейся пентестингом и сообщившей об уязвимости (CVE-2025-64155), она представляет собой комбинацию двух проблем, которые позволяют выполнять произвольную запись с правами администратора и повышать привилегии до root-доступа.
«Уязвимость некорректной нейтрализации специальных элементов, используемых в команде ОС (“OS Command Injection”) [CWE-78] в FortiSIEM, может позволить неаутентифицированному атакующему выполнять несанкционированный код или команды с помощью специально сформированных TCP-запросов», — пояснила Fortinet во вторник, когда выпустила обновления безопасности для устранения проблемы.
Horizon3.ai опубликовала технический разбор, в котором объясняется, что первопричиной проблемы является открытый доступ к десяткам обработчиков команд в сервисе phMonitor, которые можно вызывать удалённо без аутентификации. Компания также выпустила proof-of-concept-код эксплойта, позволяющий получить выполнение кода с правами root за счёт злоупотребления внедрением аргументов для перезаписи файла /opt/charting/redishb.sh.
Уязвимость затрагивает версии FortiSIEM с 6.7 по 7.5 и может быть устранена путём обновления до FortiSIEM 7.4.1 или новее, 7.3.5 или новее, 7.2.7 или новее либо 7.1.9 или новее. Клиентам, использующим FortiSIEM 7.0.0–7.0.4 и FortiSIEM 6.7.0–6.7.10, рекомендуется мигрировать на исправленный релиз.
Во вторник Fortinet также поделилась временным обходным решением для администраторов, которые не могут сразу установить обновления безопасности: необходимо ограничить доступ к порту phMonitor (7900).
Два дня спустя компания в области threat intelligence Defused сообщила, что злоумышленники уже активно эксплуатируют уязвимость CVE-2025-64155.
«Уязвимость Fortinet FortiSIEM CVE-2025-64155 в настоящее время подвергается активной целевой эксплуатации в наших honeypot-ах», — предупредила Defused.
Horizon3.ai также предоставляет индикаторы компрометации, которые помогают защитникам выявлять уже взломанные системы. Как поясняют исследователи, администраторы могут обнаружить признаки злоупотребления, проверив журналы сообщений phMonitor по пути /opt/phoenix/log/phoenix.logs на наличие URL-адресов полезной нагрузки в строках, содержащих записи PHL_ERROR.
Fortinet пока не обновила свой бюллетень безопасности и не отметила уязвимость как эксплуатируемую в атаках. Издание BleepingComputer также обратилось к представителю Fortinet за подтверждением сообщений об активной эксплуатации, однако оперативного ответа получено не было.
В ноябре Fortinet предупреждала, что злоумышленники эксплуатируют zero-day-уязвимость FortiWeb (CVE-2025-58034), а неделей позже подтвердила, что незаметно устранила вторую zero-day-уязвимость FortiWeb (CVE-2025-64446), которая также использовалась в масштабных атаках.
В феврале 2025 года компания также сообщила, что китайская хакерская группировка Volt Typhoon использовала две уязвимости FortiOS (CVE-2023-27997 и CVE-2022-42475) для развертывания трояна удалённого доступа Coathanger в военной сети Министерства обороны Нидерландов.
- Источник: https://www.bleepingcomputer[.]com/...-fortinet-fortisiem-vulnerability-in-attacks/
