Eine neu bekannt gewordene kritische Sicherheitslücke (CVE-2025-25256) wurde in mehreren Versionen von Fortinet FortiSIEM identifiziert. Aufgrund der Verfügbarkeit eines öffentlichen Proof of Concept (PoC) ist das Risiko einer Ausnutzung erheblich erhöht, sodass sofortige Aufmerksamkeit und Abhilfemaßnahmen unerlässlich sind. 

Übersicht

•    Sicherheitslücke-ID: CVE-2025-25256 
•    Beschreibung: In FortiSIEM besteht eine Remote-Sicherheitslücke durch nicht authentifizierte OS-Befehlsinjektion (CWE78). Diese ermöglicht es einem Angreifer, über speziell gestaltete CLI-Anfragen unbefugte Systembefehle auszuführen. 
•    CVSS v3.1-Score: 9,8 (kritisch)  
•    Betroffenes Produkt: Fortinet FortiSIEM (mehrere Versionen) 
•    Art der Schwachstelle: OS-Befehlsinjektion (unsachgemäße Neutralisierung spezieller Elemente; CWE-78)  
•    Exploit-Status: Es ist bekannt, dass Proof-of-Concept-Code (PoC) im Umlauf ist. Während der Ausnutzung werden in der Regel keine eindeutigen Indikatoren für eine Kompromittierung (IoCs) erzeugt. 
Der POC wurde auf Github veröffentlicht und wird für 350 US-Dollar verkauft. Github – POC 

Betroffene Versionen 

Betroffen sind folgende FortiSIEM-Versionen: 
•    7.3.0 – 7.3.1 (Upgrade auf 7.3.2 oder höher) 
•    7.2.0 – 7.2.5 (Upgrade auf 7.2.6 oder höher) 
•    7.1.0 – 7.1.7 (Upgrade auf 7.1.8 oder höher) 
•    7.0.0 – 7.0.3 (Upgrade auf 7.0.4 oder höher) 
•    6.7.0 – 6.7.9 (Upgrade auf 6.7.10 oder höher) 
•    Alle Versionen von 6.6, 6.5, 6.4, 6.3, 6.2, 6.1 und 5.4 sind ebenfalls betroffen; Upgrade auf eine beliebige verfügbare korrigierte Version 
Auswirkungen 
Diese Schwachstelle entsteht durch unzureichende Bereinigung von Benutzereingaben in der Befehlszeilenschnittstelle (CLI) von FortiSIEM. Ein nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige Befehle auf Betriebssystemebene auf anfälligen Systemen auszuführen und so möglicherweise die Integrität, Vertraulichkeit und Verfügbarkeit des Systems zu gefährden.

Überwachung und Erkennung

•    Überwachen Sie die Protokolle auf anomale CLI-Aktivitäten oder ungewöhnliche Befehle, die über phMonitor ausgeführt werden.
•    Achten Sie auf Anzeichen für eine Kompromittierung, auch wenn keine eindeutigen IoCs vorliegen. Erhöhte Systembenachrichtigungen oder Leistungsanomalien können auf eine Kompromittierung hindeuten. 
•    Erwägen Sie eine erhöhte Endpunkt- und Netzwerktransparenz, bis Patches bereitgestellt werden können. 
Empfohlene Maßnahmen 
1. Aktualisieren Sie FortiSIEM sofort 
Bitte wenden Sie die neuesten gepatchten Versionen an: 
•    7.4 (nicht betroffen) 
•    7.3.2+, 7.2.6+, 7.1.8+, 7.0.4+ oder 6.7.10+ 
2. Implementieren Sie eine vorübergehende Abhilfe, wenn ein sofortiges Upgrade nicht möglich ist
Beschränken Sie den Zugriff auf den phMonitor-Dienst (TCP-Port 7900) auf vertrauenswürdige interne Hosts.

References : 

Fortinet Vendor Advisory (FG-IR-25-152) FortiGuardNVD 
The Hacker News coverage The Hacker News 
Help Net Security analysis Help Net Security 
CERT-EU Advisory (2025-031) cert.europa.eu 
Tenable technical details and PoC analysis Tenable®Tenable® 
 
Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe bei der Entscheidung benötigen, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder kontaktieren Sie uns, um zu erfahren, wie Sie Ihr Unternehmen schützen können.