Fortinet Fortisiem platformunda, kimlik doğrulanmamış saldırganların keyfi komutları uzaktan yürütmesine izin veren kritik bir güvenlik açığı.
CWE-78 (OS komut enjeksiyonu) olarak sınıflandırılan güvenlik açığı CVE-2025-25256, tehdit aktörleri arasında dolaşan pratik istismar kodu ile vahşi doğada aktif olarak sömürülmüştür.
Key Takeaways
1. Critical FortiSIEM flaw actively exploited with PoC in the wild.
2. Targets phMonitor port 7900; no clear IoCs.
3. Upgrade to patched versions or migrate.
Fortisiem Güvenlik Açığı
Güvenlik açığı, Fortisiem’in mimarisindeki işletim sistemi komutlarında kullanılan özel unsurların yanlış nötralizasyonundan kaynaklanmaktadır.
Özellikle, kusur, sistemi hedefleyen hazırlanmış komut satırı arayüzü (CLI) talepleri aracılığıyla uzaktan kumanda yetkisiz komut enjeksiyonuna izin verir.
Saldırganlar, kimlik doğrulama mekanizmalarını tamamen atlayabildiğinden ve savunmasız sistemlerde yetkisiz kod veya komutlar yürütebildiğinden bu ciddi bir güvenlik riskini temsil eder.
İstismar, kötü niyetli aktörler için birincil saldırı vektörü olarak hizmet veren Phonitor Port 7900’den yararlanır.
Güvenlik araştırmacıları, bu güvenlik açığı için pratik istismar kodunun aktif kullanımda keşfedildiğini doğruladılar, bu da tehdit aktörlerinin bu kusuru gerçek dünya hedeflerine karşı zaten silahlandırdığını gösteriyor.
Sömürü kodunun, tespiti özellikle güvenlik ekipleri için zorlayıcı hale getiren ayırt edici uzlaşma göstergeleri (IOCS) üretmediği bildiriliyor.
Güvenlik açığı, çeşitli büyük sürümlerde birden fazla Fortisiem versiyonunu etkiler. Fortisiem sürümleri 6.1’den 6.6’ya kadar çalışan kuruluşlar en yüksek riskle karşı karşıyadır, çünkü bu sürümler basit yükseltmeler yerine sabit sürümlere tam geçiş gerektirir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Fortisiem 7.3.0–7.3.1, 7.2.0–7.2.5, 7.1.0–7.1.7, 7.0.0–7.0.3, 6.7.0–6.7.9, 6.6, 6.5, 6.4, 6.3, 6.2, 6.1 ve 5.4 tüm versiyonları. |
| Darbe | Keyfi komut yürütme |
| Önkoşuldan istismar | 7900 numaralı bağlantı noktasındaki Phonitor hizmetine ağ erişimi; Kimlik doğrulama gerekmez |
| CVSS 3.1 puanı | 9.8 (kritik) |
Yama mevcut
Daha yeni sürümler için özel yükseltme yolları mevcuttur: Fortisiem 7.3 kullanıcılar sürüm 7.3.2 veya üstüne yükseltilmeli, sürüm 7.2 kullanıcıların 7.2.6 veya daha yüksek olarak güncellenmesi gerekir.
Benzer şekilde, Fortisiem 7.1 7.1.8 veya üstüne yükseltmeyi gerektirir ve 7.0 sürüm 7.0.4 veya daha yeni bir güncelleme gerektirir.
Fortisiem 6.7 Kullanıcılar, güvenlik açığını ele almak için sürüm 6.7.10 veya üstüne yükseltebilir. Özellikle, Fortisiem 7.4 bu güvenlik kusurundan etkilenmez.
Hemen geçici bir çözüm olarak Fortinet, uygun yamalar uygulanana kadar maruziyeti azaltmak için Phonitor bağlantı noktasına 7900’ün erişimini sınırlandırmayı önerir.
Danışma başlangıçta 12 Ağustos 2025’te yayınlandı ve kuruluşların Fortisiem konuşlandırmalarını değerlendirmeleri ve hemen uygun iyileştirme önlemlerini uygulamayacağı aciliyeti vurguladı.
Çalışma istismar kodunun aktif sömürüsü ve kullanılabilirliği göz önüne alındığında, güvenlik ekipleri yama programlarında bu güvenlik açığını önceliklendirmelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.