Fortinet heeft updates uitgebracht om een kritieke beveiligingsfout op te lossen die gevolgen heeft voor FortiSIEM en waardoor een niet-geverifieerde aanvaller code kan uitvoeren op gevoelige instanties.
De kwetsbaarheid voor injectie van het besturingssysteem (OS), bijgehouden als CVE-2025-64155krijgt een beoordeling van 9,4 uit 10,0 op het CVSS-scoresysteem.
“Een onjuiste neutralisatie van speciale elementen die worden gebruikt in een OS-commando-kwetsbaarheid (‘OS command injection’) (CWE-78) in FortiSIEM kan een niet-geverifieerde aanvaller in staat stellen ongeautoriseerde code of commando’s uit te voeren via vervaardigde TCP-verzoeken”, aldus het bedrijf in een bulletin van dinsdag.
Fortinet zei dat de kwetsbaarheid alleen Super- en Worker-nodes treft, en dat deze in de volgende versies is verholpen:
- FortiSIEM 6.7.0 t/m 6.7.10 (Migreren naar een vaste release)
- FortiSIEM 7.0.0 t/m 7.0.4 (Migreren naar een vaste release)
- FortiSIEM 7.1.0 t/m 7.1.8 (Upgraden naar 7.1.9 of hoger)
- FortiSIEM 7.2.0 t/m 7.2.6 (Upgraden naar 7.2.7 of hoger)
- FortiSIEM 7.3.0 t/m 7.3.4 (Upgraden naar 7.3.5 of hoger)
- FortiSIEM 7.4.0 (Upgraden naar 7.4.1 of hoger)
- FortiSIEM 7.5 (niet beïnvloed)
- FortiSIEM Cloud (niet beïnvloed)
Horizon3.ai-beveiligingsonderzoeker Zach Hanley, die de fout op 14 augustus 2025 heeft ontdekt en gerapporteerd, zei dat het uit twee bewegende delen bestaat:
- Een niet-geverifieerde kwetsbaarheid voor argumentinjectie die leidt tot het willekeurig schrijven van bestanden, waardoor externe code kan worden uitgevoerd als beheerder
- Een escalatiekwetsbaarheid bij het overschrijven van bestanden die leidt tot root-toegang en het apparaat volledig in gevaar brengt
Concreet heeft het probleem te maken met de manier waarop de phMonitor-service van FortiSIEM – een cruciaal backend-proces dat verantwoordelijk is voor gezondheidsmonitoring, taakverdeling en communicatie tussen knooppunten via TCP-poort 7900 – binnenkomende verzoeken verwerkt die verband houden met het loggen van beveiligingsgebeurtenissen in Elasticsearch.
Dit roept op zijn beurt een shellscript op met door de gebruiker gecontroleerde parameters, waardoor de deur wordt geopend voor argumentinjectie via curl en het bereiken van willekeurige bestandsschrijfbewerkingen naar de schijf in de context van de admin-gebruiker.
Dit beperkte schrijven van bestanden kan worden ingezet om een volledige systeemovername te bereiken, waarbij de curl-argumentinjectie wordt gebruikt om een omgekeerde shell te schrijven naar “/opt/charting/redishb.sh”, een bestand dat schrijfbaar is door een admin-gebruiker en elke minuut door het apparaat wordt uitgevoerd door middel van een cron-taak die wordt uitgevoerd met machtigingen op rootniveau.
Met andere woorden: het schrijven van een reverse shell naar dit bestand maakt escalatie van bevoegdheden van admin naar root mogelijk, waardoor de aanvaller onbelemmerde toegang krijgt tot het FortiSIEM-apparaat. Het belangrijkste aspect van de aanval is dat de phMonitor-service verschillende opdrachthandlers blootlegt die geen authenticatie vereisen. Dit maakt het voor een aanvaller gemakkelijk om deze functies aan te roepen door simpelweg netwerktoegang tot poort 7900 te verkrijgen.
Fortinet heeft ook oplossingen geleverd voor een ander kritiek beveiligingsprobleem in FortiFone (CVE-2025-47855, CVSS-score: 9.3), waardoor een niet-geverifieerde aanvaller de apparaatconfiguratie kan verkrijgen via een speciaal vervaardigd HTTP(S)-verzoek aan de webportaalpagina. Het is van invloed op de volgende versies van het bedrijfscommunicatieplatform:
- FortiFone 3.0.13 t/m 3.0.23 (Upgraden naar 3.0.24 of hoger)
- FortiFone 7.0.0 t/m 7.0.1 (Upgraden naar 7.0.2 of hoger)
- FortiFone 7.2 (niet beïnvloed)
Gebruikers wordt geadviseerd om te updaten naar de nieuwste versies voor optimale bescherming. Als tijdelijke oplossing voor CVE-2025-64155 adviseert Fortinet dat klanten de toegang tot de phMonitor-poort (7900) beperken.
