Ağustos 2025’te Fortinet, FortiSIEM’de platformu hazırlanmış CLI istekleri yoluyla kimliği doğrulanmamış uzaktan kod yürütülmesine maruz bırakan bir işletim sistemi komut ekleme güvenlik açığı (CWE-78) olan CVE-2025-25256 için bir öneri yayınladı.
Pratik istismarlar ortaya çıktı ve güvenlik firması Horizon3.ai’yi derin bir soruşturma yapmaya sevk etti. Analizleri yıkıcı bir zinciri ortaya çıkardı: rastgele dosya yazma işlemlerine ve yönetici kullanıcı olarak RCE’ye olanak tanıyan, kök erişimine dosya üzerine yazma ayrıcalığının yükseltilmesiyle eşleştirilmiş, kimliği doğrulanmamış bir argüman ekleme güvenlik açığı.
Fortinet, bu CVE-2025-64155’i FG-IR-25-772 kapsamında atadı. GitHub’da kavram kanıtı istismarı mevcuttur.
Bu, yıllardır platformu inceleyen Horizon3.ai araştırmacıları için FortiSIEM’in güvenlik açığı destanında yeni bir bölümü işaret ediyor. Önceki açıklamalar, ayrıntılı incelemelerinde ayrıntıları verilen CVE-2023-34992 (phMonitor komut enjeksiyonu) ve CVE-2024-23108’i (ikinci derece enjeksiyon) içermektedir.
CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğunda yer almamasına rağmen, 2025’in başlarında sızdırılan Black Basta fidye yazılımı sohbetleri bu kusurlara atıfta bulunarak tehdit aktörlerinin ilgisini gösteriyordu.
FortiSIEM Mimarisi ve phMonitor Pozlaması
FortiSIEM çeşitli dağıtımları destekler: phMonitor hizmetinin TCP/IP bağlantı noktası 7900 üzerinden roller arası iletişimi yönettiği hepsi bir arada sunucular veya yönetici-toplayıcı modelleri.
Bu hizmet, özel API mesajlarını kimlik doğrulaması olmadan işler ve komutları phMonitorProcess::initEventHandler’daki tamsayılar aracılığıyla işleyicilerle eşler. Geçmişteki sertleşme maruz kalmayı azalttı ancak güvenlik açıkları devam ediyor.
CVE-2025-64155, “elastik” depolama türüyle handStorageRequest’i hedefliyor. Cluster_name ve Cluster_url gibi kullanıcı tarafından kontrol edilen XML etiketleri /opt/phoenix/phscripts/bin/elastic_test_url.sh dosyasına beslenir.
subprocess.run() sarmalayıcılarına ve sarmaShellToken’in kaçmasına rağmen, betiğin execve aracılığıyla curl çağrısı argüman enjeksiyonuna izin verir.
Saldırganlar, curl’un belirsiz –next bayrağını kullanarak aşağıdaki istekleri zincirlerler:
Bu, birkaç saniyede bir ters kabuk olarak yürütülen phLicenseTool’un üzerine yazar ve yönetici erişimi sağlar.
| Sürüm | Etkilenen | Çözüm |
|---|---|---|
| 7.4 | Etkilenmedi | Yok |
| 7.3 | 7.3.0-7.3.1 | 7.3.2+ sürümüne yükseltme |
| 7.2 | 7.2.0-7.2.5 | 7.2.6+ sürümüne yükseltme |
| 7.1 | 7.1.0-7.1.7 | 7.1.8+ sürümüne yükseltme |
| 7.0 | 7.0.0-7.0.3 | 7.0.4+ sürümüne yükseltme |
| 6.7 | 6.7.0-6.7.9 | 6.7.10+ sürümüne yükseltme |
| 6.6 ve altı | Tüm sürümler | Sabit sürüme geçiş |
Yönetici kabukları, cronjob kötüye kullanımı yoluyla köklenmenin yolunu açıyor. Kök crontab /etc/cron.d/fsm-crontab her dakika /opt/charting/redishb.sh dosyasını çalıştırır ve kök çalıştırmaya rağmen yönetici tarafından yazılabilir. Bir veri yüküyle bunun üzerine yazmak tam uzlaşma sağlar.
Uzlaşma Göstergeleri
/opt/phoenix/log/phoenix.logs’u, kötü amaçlı URL’ler ve hedef dosyalar (örneğin, phLicenseTool’un üzerine yazma işlemleri) dahil olmak üzere, elastic_test_url.sh kötüye kullanımını kaydeden PHL_ERROR girişleri açısından izleyin.
Fortinet, yükseltmeleri ve 7900 bağlantı noktası kısıtlamalarını teşvik ediyor. Kuruluşlar, artan SIEM hedeflemesi karşısında hemen günlükleri denetlemeli ve yama yapmalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
