En allvarlig säkerhetsbrist (CVE-2025-25256) har nyligen identifierats i flera versioner av Fortinet FortiSIEM. På grund av att ett offentligt Proof of Concept (PoC) nu är tillgängligt har risken för utnyttjande ökat avsevärt, vilket gör omedelbar uppmärksamhet och åtgärd absolut nödvändig.

översikt

  • Sårbarhets-ID: CVE-2025-25256

  • Beskrivning: En fjärrutnyttjbar, icke-autentiserad OS-kommandoinjektionssårbarhet (CWE-78) finns i FortiSIEM. Den gör det möjligt för en angripare att köra obehöriga systemkommandon via särskilt utformade CLI-förfrågningar.

  • CVSS v3.1-poäng: 9,8 (Kritisk)

  • Påverkad produkt: Fortinet FortiSIEM (flera versioner)

  • Typ av sårbarhet: OS Command Injection (bristfällig neutralisering av specialelement; CWE-78)

  • Utnyttjandestatus: PoC-kod är känd att finnas tillgänglig. Vid utnyttjande genereras vanligtvis inga tydliga indikatorer på intrång (IoC).

PoC:n har publicerats på GitHub och säljs för 350 USD.

Påverkade versioner

Följande versioner av FortiSIEM är sårbara:

  • 7.3.0 – 7.3.1 (uppdatera till 7.3.2 eller senare)

  • 7.2.0 – 7.2.5 (uppdatera till 7.2.6 eller senare)

  • 7.1.0 – 7.1.7 (uppdatera till 7.1.8 eller senare)

  • 7.0.0 – 7.0.3 (uppdatera till 7.0.4 eller senare)

  • 6.7.0 – 6.7.9 (uppdatera till 6.7.10 eller senare)

  • Alla versioner av 6.6, 6.5, 6.4, 6.3, 6.2, 6.1 och 5.4 är också sårbara; uppdatera till valfri tillgänglig korrigerad version.

Påverkan

Denna sårbarhet beror på otillräcklig sanering av användarinmatning i FortiSIEM:s kommandoradsgränssnitt (CLI). En fjärrangripare utan autentisering kan utnyttja felet för att köra godtyckliga OS-kommandon på sårbara system, vilket potentiellt kan äventyra systemets integritet, konfidentialitet och tillgänglighet.

övervakning och detektion

  • Övervaka loggar för avvikande CLI-aktivitet eller ovanliga kommandon som körs via phMonitor.

  • Var uppmärksam på tecken på kompromettering baserat på beteende: även utan tydliga IoC kan ökade systemaviseringar eller prestandaanomalier indikera intrång.

  • Öka insynen i endpoints och nätverk fram till dess att säkerhetsuppdateringar kan tillämpas.

Rekommenderade åtgärder

  1. Uppdatera FortiSIEM omedelbart
    Installera de senaste korrigerade versionerna:

    • 7.4 (inte sårbar)

    • 7.3.2+, 7.2.6+, 7.1.8+, 7.0.4+ eller 6.7.10+

  2. Inför en tillfällig lösning om uppdatering inte kan ske direkt
    Begränsa åtkomsten till phMonitor-tjänsten (TCP-port 7900) till enbart betrodda interna värdar.

Referenser:

  • Fortinet Vendor Advisory (FG-IR-25-152) – FortiGuard NVD

  • Rapportering av The Hacker News – The Hacker News

  • Analys från Help Net Security – Help Net Security

  • CERT-EU Advisory (2025-031) – cert.europa.eu

  • Tekniska detaljer och PoC-analys från Tenable® – Tenable®

Om du är orolig för någon av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda din organisation mot de mest relevanta hoten, kontakta din account manager eller ta kontakt för att ta reda på hur vi kan hjälpa till att skydda din verksamhet.

 

Kontakta oss