Fortinet, vahşi doğada pratik istismar kodu ortaya çıktıktan sonra Fortisiem’de kritik bir OS komutu enjeksiyon güvenlik açığı (CVE-2025-25256) için yamalar yayınladı.
CVE-2025-25256 HAKKINDA
Fortisiem, kuruluşlar tarafından bir kuruluşun BT ve güvenlik altyapısından günlükleri, olayları ve uyarıları toplamak, ilişkilendirmek ve analiz etmek için kullanılan bir güvenlik bilgi ve etkinlik yönetimi platformudur.
CVE-2025-25256, özel unsurların uygunsuz nötralizasyonundan kaynaklanır ve kimlik doğrulanmamış saldırganların özel olarak hazırlanmış komut satırı arayüzü (CLI) istekleri aracılığıyla savunmasız cihazlarda yetkisiz kod veya komutlar yürütmesine izin verebilir. Güvenlik açığından yararlanmak için kullanıcı etkileşimi gerekmez.
Güvenlik açığı Fortisiem sürümlerini etkiler:
- 7.3.0 ila 7.3.1
- 7.2.0 ila 7.2.5
- 7.1.0 ila 7.1.7
- 7.0.0 ila 7.0.3
- 6.7.0 ila 6.7.9
Eski dallar – Fortisiem 6.6, 6.5, 6.4, 6.3, 6.2, 6.1 ve 5.4 – de etkilenir.
Yöneticilere bir düzeltme içeren aşağıdaki sürümlerden birine yükseltmeleri tavsiye edilir:
- Fortisiem 7.4 (Temmuz 2025’in sonlarında piyasaya sürüldü)
- Fortisiem 7.3.2 veya üstü
- Fortisiem 7.2.6 veya üstü
- Fortisiem 7.1.8 veya üstü
- Fortisiem 7.0.4 veya üstü
- Fortisiem 6.7.10 veya üstü
Hızlı bir yükseltme imkansızsa, Fortinet, Phonitor bağlantı noktasına (TCP bağlantı noktası 7900) erişimi yalnızca güvenilir dahili ana bilgisayarlara/IP’lere sınırlamayı önerir. Port, Dahili Fortisiem bileşenleri tarafından keşif ve senkronizasyon görevini iletişim kurmak ve gerçekleştirmek için kullanılan Phonitor hizmetini barındırır.
İstismar kodu için endişelenmeli misiniz?
Fortinet, istismar kodunun nerede bulunduğuna dair ayrıntıları paylaşmadı veya saldırganlar tarafından kaldırılma olasılığı hakkında spekülasyon yapmadı.
Bir yıldan biraz daha uzun bir süre önce, Horizon3.i Researches, CVE-2023-34992 için POC istismarlarını ve yama baypas CVE-2024-23108’i de Fortisiem’in TCP/7900’deki Phmonitor hizmetine özel olarak hazırlanmış mesajlar göndermeye dayanıyordu. POC’lerin mevcudiyetine rağmen, vahşi saldırganlar tarafından kaldırıldıkları doğrulanmış örnekler yoktu.
Ne yazık ki, savunucular için, CVE-2025-25256 için istismar kodu “farklı görünmüyor gibi görünmüyor [indicators of compromise]”, Bu nedenle bu güvenlik açığı yoluyla yapılan müdahaleleri tespit etmek zor olabilir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!