Fortinet, FortiSIEM’i etkileyen ve kimliği doğrulanmamış bir saldırganın duyarlı örneklerde kod yürütmesine olanak tanıyan kritik bir güvenlik kusurunu düzeltmek için güncellemeler yayınladı.
Şu şekilde izlenen işletim sistemi (OS) enjeksiyon güvenlik açığı: CVE-2025-64155CVSS puanlama sisteminde 10,0 üzerinden 9,4 puan aldı.
“İşletim sistemi komutunda (‘İşletim Sistemi komut ekleme’) kullanılan özel öğelerin uygunsuz şekilde etkisiz hale getirilmesi güvenlik açığı [CWE-78] FortiSIEM’deki güvenlik açığı, kimliği doğrulanmamış bir saldırganın hazırlanmış TCP istekleri yoluyla yetkisiz kod veya komutlar yürütmesine izin verebilir” dedi şirket Salı günü yayınlanan bir bültende.
Fortinet, güvenlik açığının yalnızca Süper ve Çalışan düğümleri etkilediğini ve aşağıdaki sürümlerde ele alındığını söyledi:
- FortiSIEM 6.7.0 – 6.7.10 (Sabit bir sürüme geçiş)
- FortiSIEM 7.0.0 ila 7.0.4 (Sabit bir sürüme geçiş)
- FortiSIEM 7.1.0 ila 7.1.8 (7.1.9 veya üstüne yükseltme)
- FortiSIEM 7.2.0 ila 7.2.6 (7.2.7 veya üstüne yükseltme)
- FortiSIEM 7.3.0 ila 7.3.4 (7.3.5 veya üstüne yükseltme)
- FortiSIEM 7.4.0 (7.4.1 veya üstüne yükseltme)
- FortiSIEM 7.5 (Etkilenmez)
- FortiSIEM Bulut (Etkilenmez)
Kusuru 14 Ağustos 2025’te keşfedip rapor eden Horizon3.ai güvenlik araştırmacısı Zach Hanley, kusurun iki hareketli parçadan oluştuğunu söyledi:
- Yönetici kullanıcı olarak uzaktan kod yürütülmesine izin veren, rastgele dosya yazmaya yol açan, kimliği doğrulanmamış bir argüman ekleme güvenlik açığı
- Kök erişimine yol açan ve cihazın güvenliğini tamamen tehlikeye sokan bir dosya üzerine yazma ayrıcalığı yükseltme güvenlik açığı
Spesifik olarak sorun, FortiSIEM’in phMonitor hizmetinin (sağlık izleme, görev dağıtımı ve TCP bağlantı noktası 7900 aracılığıyla düğümler arası iletişimden sorumlu önemli bir arka uç süreci) güvenlik olaylarının Elasticsearch’e kaydedilmesiyle ilgili gelen istekleri nasıl ele aldığıyla ilgilidir.
Bu da, kullanıcı tarafından kontrol edilen parametrelere sahip bir kabuk komut dosyasını çağırır, böylece curl yoluyla argüman enjeksiyonuna kapıyı açar ve yönetici kullanıcı bağlamında diske rastgele dosya yazma işlemleri gerçekleştirir.
Bu sınırlı dosya yazma, yönetici kullanıcı tarafından yazılabilen ve kök düzeyindeki izinlerle çalışan bir cron işi aracılığıyla cihaz tarafından her dakika yürütülen bir dosya olan “/opt/charting/redishb.sh” dosyasına ters bir kabuk yazmak için curl argümanı enjeksiyonunu silahlandırarak tam sistemi ele geçirmek için silah haline getirilebilir.
Başka bir deyişle, bu dosyaya bir ters kabuk yazmak, ayrıcalıkların yöneticiden köke yükseltilmesini sağlayarak saldırganın FortiSIEM cihazına sınırsız erişimini sağlar. Saldırının en önemli yönü, phMonitor hizmetinin kimlik doğrulama gerektirmeyen çeşitli komut işleyicilerini açığa çıkarmasıdır. Bu, bir saldırganın yalnızca 7900 numaralı bağlantı noktasına ağ erişimi elde ederek bu işlevleri başlatmasını kolaylaştırır.
Fortinet ayrıca, kimliği doğrulanmamış bir saldırganın Web Portalı sayfasına özel olarak hazırlanmış bir HTTP(S) isteği aracılığıyla cihaz yapılandırmasını elde etmesine izin verebilecek FortiFone’daki başka bir kritik güvenlik açığına (CVE-2025-47855, CVSS puanı: 9.3) yönelik düzeltmeler de gönderdi. Kurumsal iletişim platformunun aşağıdaki sürümlerini etkiler:
- FortiFone 3.0.13 ila 3.0.23 (3.0.24 veya üzeri sürüme yükseltme)
- FortiFone 7.0.0 ila 7.0.1 (7.0.2 veya üzeri sürüme yükseltme)
- FortiFone 7.2 (Etkilenmez)
Optimum koruma için kullanıcıların en son sürümlere güncellemeleri önerilir. CVE-2025-64155’e geçici çözüm olarak Fortinet, müşterilerin phMonitor bağlantı noktasına (7900) erişimi sınırlamasını öneriyor.