WatchTowr Labs’tan siber güvenlik araştırmacıları, CVE-2025-25256 olarak belirlenen Fortinet Fortisiem sistemlerini etkileyen kritik bir ön kimlik doğrulama komutu enjeksiyon kırılganlığının kapsamlı bir teknik analizini yayınladılar.
Güvenlik açığı, maksimum CVSS puanı 9.8 taşır ve zaten vahşi doğada kullanılmıştır, bu da onu kurumsal güvenlik operasyon merkezlerinin karşılaştığı en acil güvenlik tehditlerinden biri haline getirir.
CVE-2025-25256, CWE-78 altında sınıflandırılan OS komut enjeksiyonunda kullanılan özel elementlerin uygunsuz bir nötralizasyonunu temsil eder.
Kusur, kimlik doğrulanmamış uzak saldırganların, özel hazırlanmış komut satırı arabirimi istekleri aracılığıyla savunmasız Fortisiem örnekleri üzerinde keyfi kod veya komutlar yürütmelerini sağlar ve başarılı bir sömürü için kullanıcı etkileşimi gerektirmez.
Güvenlik açığı, Fortisiem süreçlerinin sağlığını izlemek ve çeşitli sistem bileşenleri arasında görev dağıtmaktan sorumlu olan TCP bağlantı noktası 7900’de çalışan Phonitor hizmetini özellikle hedeflemektedir.
Bu hizmet, TLS şifrelemesine sarılmış özel bir RPC protokolü kullanarak 7900 numaralı bağlantı noktasını dinleyen bir C ++ ikili olarak çalışır.
Teknik analiz ve kök nedeni
WatchTower Labs’ın ayrıntılı analizine göre, güvenlik açığı, Phmonitor sürecinin HandlesToraGearchiveRequest fonksiyonu içinde yetersiz girdi sterilizasyonundan kaynaklanmaktadır.
Araştırmacılar, güvenlik kusurunun kesin doğasını belirlemek için Fortisiem sürümleri 7.3.1 ve 7.3.2 arasında yama difing analizi gerçekleştirdiler.
Kök neden, Fortinet’in kullanıcı kontrollü girdileri sterilize etmek için Shellcmd :: AddParasafe işlevine önceki güveninde yatmaktadır. Bu fonksiyon, yalnızca girişin çevredeki gerçek iplerden çıkmasını önlemek için alıntılardan kaçan yetersiz doğrulama gerçekleştirdi – komuta enjeksiyon saldırılarına karşı zayıf bir savunma.
Yamalı versiyonda Fortinet, bu işlevi iki spesifik ve güvenli işlevle değiştirdi: Shellcmd :: AddHostNameoripparam ve Shellcmd :: AddDiskPathParam.
Güvenlik açığı, Phonitor hizmetine kötü niyetli XML yükleri gönderilerek tetiklenebilir. Saldırı, süpervizör veya işçi modunda çalışan sistem de dahil olmak üzere, depolama türü parametresi “HDFS” yerine “NFS” olarak ayarlanmış belirli koşulların karşılanmasını gerektirir.
Başarılı bir istismar, archive_nfs_archive_dir parametresinde kötü niyetli içerik içeren bir XML yükünün hazırlanmasını içerir. Örneğin, yük would execute a command to create a file in the /tmp directory.
The underlying command structure executed by the system follows this pattern:
text/opt/phoenix/deployment/jumpbox/datastore.py nfs test [server_ip] [directory_path] archive
Güvenlik açığı, artık güvenlik güncellemeleri almayan eski sistemler de dahil olmak üzere geniş bir Fortisiem versiyonlarını etkiliyor:
| Versiyon | Etkilenen aralık | Önerilen Eylem |
|---|---|---|
| Fortisiem 5.4 | Tüm sürümler | Desteklenen sürüm için göç edin |
| Fortisiem 6.1-6.6 | Tüm sürümler | Desteklenen sürüm için göç edin |
| Fortisiem 6.7 | 6.7.0 ila 6.7.9 | 6.7.10 veya daha yüksek seviyeye yükseltme |
| Fortisiem 7.0 | 7.0.0 ila 7.0.3 | 7.0.4 veya üstüne yükseltme |
| Fortisiem 7.1 | 7.1.0 ila 7.1.7 | 7.1.8 veya üstüne yükseltme |
| Fortisiem 7.2 | 7.2.0 ila 7.2.5 | 7.2.6 veya üstüne yükseltme |
| Fortisiem 7.3 | 7.3.0 ila 7.3.1 | 7.3.2 veya üstüne yükseltme |
| Fortisiem 7.4 | Etkilenmedi | İşlem gerekmez |
Yamaları hemen dağıtamayan kuruluşlar için Fortinet, Phonitor bağlantı noktasına (TCP 7900) erişimin yalnızca güvenilir dahili ana bilgisayarlarla sınırlanmasını önerir.
Bu kırılganlığın en ilgili yönlerinden biri, sömürü girişimlerinin ayırt edici uzlaşma göstergeleri üretmemesidir ve tespiti güvenlik ekipleri için son derece zorlaştırır. Bu karakteristik olay müdahale çabalarını ve adli analizi önemli ölçüde karmaşıklaştırmaktadır.
Siber güvenlik topluluğu bu tehdide hızla cevap verdi. WatchTowr Labs, güvenlik ekiplerinin potansiyel sömürü girişimlerini belirlemelerine yardımcı olmak için GitHub’da bir algılama artefakt jeneratörü yayınladı.
Kanada Siber Güvenlik Merkezi ve CERT-EU da dahil olmak üzere birçok güvenlik satıcısı ve devlet kurumları, bu güvenlik açığının aktif sömürüsü hakkında uyaran acil tavsiyelerde bulundu.
CVE-2025-25256’nın açıklanması, Fortinet altyapısının daha fazla hedeflenmesinin bir zemininde gerçekleşir.
Güvenlik araştırmacıları, güvenlik açığının açıklaması ile Fortinet SSL VPN cihazlarını hedefleyen kaba kuvvet saldırılarında yakın zamanda yapılan bir artış arasında bir korelasyona dikkat çekti ve tehdit aktörleri tarafından koordineli keşif faaliyetlerini önerdi.
Güvenlik uzmanları bu güvenlik açığını derhal ilgi gerektiren kritik bir acil durum olarak ele almalıdır. Fortisiem dağıtımlarını işleten kuruluşlar, şubeleri için uygun en son yamalı sürümlere yükseltmeye öncelik vermelidir. Desteklenmemiş eski sürümleri çalıştıran sistemler için, daha yeni, desteklenen sürümlere geçiş esastır.
Geçici bir azaltma önlemi olarak, yöneticiler TCP bağlantı noktası 7900’de katı erişim kontrolleri uygulamalı ve bağlantıları yalnızca temel iç sistemlerle sınırlandırmalıdır.
Ayrıca, kuruluşlar, ayırt edici uzlaşma göstergelerinin olmamasına rağmen, başarılı bir şekilde sömürüyü gösterebilecek şüpheli faaliyetler için çevrelerini izlemelidir.
Bu kırılganlığın hızlı silahlandırılması, saldırganların geleneksel güvenlik açığı yönetimi süreçlerinin yanıt verebileceğinden daha hızlı sömürülebileceği ve dağıtabileceği gelişen tehdit manzarasının altını çiziyor, bu da proaktif güvenlik önlemlerini ve hızlı yama dağıtımını her zamankinden daha kritik hale getiriyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.