Τεχνικές λεπτομέρειες και μια δημόσια εκμετάλλευση έχουν δημοσιευτεί για μια κρίσιμη ευπάθεια που επηρεάζει τη λύση Ασφαλείας Πληροφοριών και Διαχείρισης Συμβάντων (SIEM) της Fortinet, η οποία θα μπορούσε να αξιοποιηθεί από έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας για την εκτέλεση εντολών ή κώδικα.
Η ευπάθεια παρακολουθείται ως CVE-2025-25256 και είναι ένας συνδυασμός δύο ζητημάτων που επιτρέπουν αυθαίρετη εγγραφή με δικαιώματα διαχειριστή και κλιμάκωση προνομίων στην πρόσβαση root.
Ερευνητές στην εταιρεία δοκιμών διείσδυσης Horizon3.ai ανέφεραν το ζήτημα ασφαλείας στα μέσα Αυγούστου 2025. Στις αρχές Νοεμβρίου, η Fortinet το αντιμετώπισε σε τέσσερις από τους πέντε κλάδους ανάπτυξης του προϊόντος και ανακοίνωσε αυτή την εβδομάδα ότι όλες οι ευάλωτες εκδόσεις έχουν διορθωθεί.
Το Fortinet περιγράφει το Ευπάθεια CVE-2025-25256 καθώς “μια ακατάλληλη εξουδετέρωση ειδικών στοιχείων που χρησιμοποιούνται σε μια ευπάθεια εντολών λειτουργικού συστήματος στο FortiSIEM μπορεί να επιτρέψει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να εκτελέσει μη εξουσιοδοτημένο κώδικα ή εντολές μέσω δημιουργημένων αιτημάτων TCP.”
Το Horizon3.ai έχει δημοσίευσε αναλυτική καταγραφή εξηγώντας ότι η βασική αιτία του προβλήματος είναι η έκθεση δεκάδων χειριστών εντολών στην υπηρεσία phMonitor, η οποία μπορεί να γίνει εξ αποστάσεως κλήση χωρίς έλεγχο ταυτότητας.
Οι ερευνητές λένε ότι αυτή η υπηρεσία ήταν το σημείο εισόδου για πολλαπλά τρωτά σημεία του FortiSIEM εδώ και αρκετά χρόνια, όπως το CVE-2023-34992 και το CVE-2024-23108, και υπογραμμίζουν ότι ομάδες ransomware όπως το Black Basta έχουν δείξει στο παρελθόν ειλικρινές ενδιαφέρον για αυτά τα ελαττώματα.
Μαζί με τις τεχνικές λεπτομέρειες για το CVE-2025-25256, οι ερευνητές δημοσίευσαν επίσης ένα επιδεικτική εκμετάλλευση. Δεδομένου ότι ο πωλητής παρέδωσε την επιδιόρθωση και δημοσίευσε μια συμβουλή ασφαλείας, οι ερευνητές αποφάσισαν να μοιραστούν τον κώδικα εκμετάλλευσης.
Το ελάττωμα επηρεάζει τις εκδόσεις FortiSIEM από 6.7 έως 7.5 και έγιναν διαθέσιμες διορθώσεις στις ακόλουθες εκδόσεις:
- FortiSIEM 7.4.1 ή νεότερη έκδοση
- FortiSIEM 7.3.5 ή νεότερη έκδοση
- FortiSIEM 7.2.7 ή νεότερη έκδοση
- FortiSIEM 7.1.9 ή νεότερη έκδοση
Τα FortiSIEM 7.0 και 6.7.0 επηρεάζονται επίσης, αλλά δεν υποστηρίζονται πλέον, επομένως δεν θα λάβουν επιδιόρθωση για το CVE-2025-25256.
Η Fortinet διευκρίνισε ότι αυτό το ελάττωμα δεν επηρεάζει το FortiSIEM 7.5 και το FortiSIEM Cloud.
Η μόνη λύση που παρέχεται από τον προμηθευτή για όσους δεν μπορούν να εφαρμόσουν αμέσως την ενημέρωση ασφαλείας είναι ο περιορισμός της πρόσβασης στη θύρα phMonitor (7900).
Το Horizon3.ai έχει επίσης κοινοποιήσει δείκτες συμβιβασμού που μπορούν να βοηθήσουν τις εταιρείες να εντοπίσουν παραβιασμένα συστήματα. Εξετάζοντας τα αρχεία καταγραφής για τα μηνύματα που λαμβάνονται από το phMonitor (/opt/phoenix/log/phoenix.logs), η γραμμή με “PHL_ERROR” θα πρέπει να περιλαμβάνει τη διεύθυνση URL για το ωφέλιμο φορτίο και το αρχείο στο οποίο έχει εγγραφεί.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
