Fortinet 於 1 月 14 日發布安全更新,修補旗下安全資訊與事件管理平 FortiSIEM 的一項重大漏洞 CVE-2025-64155。該漏洞屬於作業系統命令注入類型,CVSS 評分高達 9.4 分,未經身分驗證的遠端攻擊者可透過特製的 TCP 請求執行任意程式碼,進而完全控制受影響設備。
漏洞影響範圍與修補版本
根據 Fortinet 官方公告,此漏洞僅影響 FortiSIEM 的 Supervisor 與 Worker 節點,FortiSIEM 7.5 版本及 FortiSIEM Cloud 雲端服務則不受影響。
受影響版本與對應修補方式如下:
- FortiSIEM 6.7.0 至 6.7.10:建議遷移至已修補版本
- FortiSIEM 7.0.0 至 7.0.4:建議遷移至已修補版本
- FortiSIEM 7.1.0 至 7.1.8:升級至 7.1.9 或更新版本
- FortiSIEM 7.2.0 至 7.2.6:升級至 7.2.7 或更新版本
- FortiSIEM 7.3.0 至 7.3.4:升級至 7.3.5 或更新版本
- FortiSIEM 7.4.0:升級至 7.4.1 或更新版本
漏洞技術細節
此漏洞由資安研究機構 Horizon3.ai 的研究員 Zach Hanley 於 2025 年 8 月 14 日發現並通報。根據其技術分析,該漏洞實際上由兩個安全缺陷組成:首先是未經驗證的參數注入漏洞,可導致任意檔案寫入並以 admin 使用者身分執行遠端程式碼;其次是檔案覆寫權限提升漏洞,可進一步取得 root 權限,達成設備的完全入侵。
問題根源在於 FortiSIEM 的 phMonitor 服務處理請求的方式存在缺陷。phMonitor 是負責健康監控、任務分配及節點間通訊的關鍵後端程序,透過 TCP 連接埠 7900 運作。當該服務處理與 Elasticsearch 安全事件記錄相關的請求時,會以使用者可控制的參數呼叫 shell 腳本,攻擊者可藉此透過 curl 指令進行參數注入,將惡意檔案寫入磁碟。
攻擊者可進一步將反向 shell 寫入 /opt/charting/redishb.sh 檔案。由於該檔案每分鐘會被系統以 root 權限透過 cron job 執行,攻擊者可藉此從 admin 權限提升至 root 權限,取得 FortiSIEM 設備的完全控制權。值得注意的是,phMonitor 服務暴露的多個命令處理程序均無需身分驗證,攻擊者只要能存取連接埠 7900,即可輕易觸發這些功能。
PoC 已公開釋出; 用戶應立即更新
Horizon3.ai 已公開釋出針對 CVE-2025-64155 的概念驗證(PoC)攻擊程式,展示遠端未經驗證的攻擊者如何利用此漏洞執行任意程式碼並奪取設備控制權。PoC 的公開意味著攻擊者可快速將此漏洞武器化,企業應優先處理此項修補作業。
Fortinet 建議用戶立即更新至最新版本以獲得最佳防護。針對 CVE-2025-64155,若無法立即更新,可先採取臨時緩解措施,限制對 phMonitor 服務連接埠 7900 的網路存取權限。企業資安團隊應儘速盤點內部 FortiSIEM 部署狀況,評估受影響範圍並排定修補優先順序。
Fortinet 同步修補 FortiFone 重大漏洞
Fortinet 同日亦修補了企業通訊平台 FortiFone 的另一項重大漏洞 CVE-2025-47855,CVSS 評分 9.3 分。未經驗證的攻擊者可透過特製的 HTTP(S) 請求存取 Web Portal 頁面,取得設備組態資訊。受影響版本包括 FortiFone 3.0.13 至 3.0.23(需升級至 3.0.24 或以上)及 FortiFone 7.0.0 至 7.0.1(需升級至 7.0.2 或以上),FortiFone 7.2 版本則不受影響。
本文轉載自thehackernews。