Fortinet FortiSIEM güvenlik açığı CVE-2025-64155, Defused tarafından bal küpü dağıtımları aracılığıyla doğrulandığı üzere aktif olarak istismar ediliyor.
Bu kritik işletim sistemi komut ekleme kusuru, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine olanak tanıyarak kurumsal güvenlik izleme sistemleri için ciddi riskler oluşturur.
CVE-2025-64155, Süper ve Çalışan düğümler arasında dahili veri alışverişini yöneten FortiSIEM phMonitor hizmeti içindeki işletim sistemi komutlarındaki özel öğelerin uygunsuz şekilde nötrleştirilmesinden kaynaklanmaktadır.
Saldırganlar, 7900 numaralı bağlantı noktasına hazırlanmış TCP istekleri göndererek, depolama yapılandırması uç noktalarını elastik bir tür kümesiyle hedefleyerek, yönetici kullanıcı olarak rastgele dosya yazımı için XML verileri aracılığıyla bağımsız değişkenleri bir curl komutuna enjekte eder.
Zincirleme ayrıcalık yükseltme, yürütülen ikili dosyaların üzerine yazarak kök erişimine izin verir.
Kavram kanıtı kodu GitHub’da herkese açıktır ve RCE zincirlerinin tamamını gösterir. Fortinet’in tavsiyesi, Bulut veya Toplayıcı düğümleri üzerinde herhangi bir etkinin olmadığını doğruluyor.
| Ürün Sürümü | Etkilenen Aralık | Sabit Sürüm fortiguard+1 |
|---|---|---|
| FortiSIEM 6.7 | 6.7.0 ila 6.7.10 | Sabit bir sürüme geçiş yapın |
| FortiSIEM 7.0 | 7.0.0’dan 7.0.4’e | Sabit bir sürüme geçiş yapın |
| FortiSIEM 7.1 | 7.1.0’dan 7.1.8’e | 7.1.9 veya üzeri |
| FortiSIEM 7.2 | 7.2.0 ila 7.2.6 | 7.2.7 veya üzeri |
| FortiSIEM 7.3 | 7.3.0 ila 7.3.4 | 7.3.5 veya üzeri |
| FortiSIEM 7.4 | 7.4.0 | 7.4.1 veya üzeri |
| FortiSIEM 7.5 | Etkilenmiyor | Yok |
| FortiSIEM Bulutu | Etkilenmiyor | Yok |
Yamanın yayınlanmasından kısa bir süre sonra bal küplerine isabet eden hedefli saldırılar etkisiz hale getirildi ve veri yükleri enjeksiyon dizilerine ikinci aşama altyapıyı yerleştirdi.
Bu istismar, /opt/phoenix/log/phoenix.log dosyasında saldırganın URL’lerini ve dosya yollarını gösteren PHL_ERROR girişleri olarak oturum açmaya çalışır. Kusurun kimliği doğrulanmamış yapısı ve SIEM’e maruz kalması, riskleri artırarak günlüklerin kurcalanmasına, veri sızmasına veya yanal harekete olanak tanır.
Etkisizleştirilmiş taramalardan elde edilen son güvenlik ihlali göstergeleri arasında şunlar yer alıyor:
| IP Adresi | ASN/Kuruluş |
|---|---|
| 167.17.179[.]109 | Baxet Grup A.Ş. |
| 103.224.84[.]76 | Siamdata İletişimi |
| 209.126.11[.]25 | sayacağım |
| 120.231.127[.]227 | Çin Mobil İletişim Grubu |
| 129.226.190[.]169 | Tencent |
| 220.181.41[.]80 | IDC, Çin Telekomünikasyon Şirketi |
Örnek veriler, parça numarası veya URI parametreleri yoluyla enjekte edilen, küme adlarına (“test kümesi”) sahip XML, çoğaltma sayıları (4) ve elasticsearch hizmet testleri gibi elastik depolama yapılandırmalarını taklit eder. Henüz bir CISA KEV listesi yok ancak Fortinet’in önceki 23 kusuru aktif olarak istismar ediliyor.
Kuruluşların, Fortinet’in tavsiyesi uyarınca Süper/Çalışan düğümlerini derhal yükseltmesi gerekiyor. Geçici çözüm olarak TCP 7900’e harici erişimi engelleyin. PhMonitor günlüklerini anormalliklere karşı izleyin ve EDR araçlarını kullanarak IOC’leri tarayın.
Fortinet, PoC kullanılabilirliği ve geçmiş hedefleme dikkate alınarak öncelik verilmesini öneriyor. Tehdit tespiti için FortiSIEM’e güvenen şirketler ironiyle karşı karşıya: güvenliği ihlal edilmiş SIEM’ler, savunucuları daha geniş ihlallere karşı kör ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
