Fortinet’in Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümünü etkileyen, uzak, kimliği doğrulanmamış bir saldırganın komutları veya kodları yürütmek için kullanabileceği kritik bir güvenlik açığına ilişkin teknik ayrıntılar ve genel bir istismar yayınlandı.
Güvenlik açığı CVE-2025-25256 olarak izleniyor ve yönetici izinleriyle keyfi yazmaya ve kök erişimine ayrıcalık yükseltmeye izin veren iki sorunun birleşiminden oluşuyor.
Sızma testi şirketi Horizon3.ai’deki araştırmacılar, güvenlik sorununu Ağustos 2025’in ortasında bildirdi. Kasım ayı başlarında Fortinet, ürünün beş geliştirme dalından dördünde bu sorunu ele aldı ve bu hafta tüm savunmasız sürümlerin yamandığını duyurdu.
Fortinet, CVE-2025-25256 güvenlik açığını “FortiSIEM’deki işletim sistemi komut güvenlik açığında kullanılan özel öğelerin uygunsuz şekilde etkisiz hale getirilmesi, kimliği doğrulanmamış bir saldırganın hazırlanmış TCP istekleri aracılığıyla yetkisiz kod veya komutlar yürütmesine izin verebilir” olarak tanımlıyor.
Horizon3.ai, sorunun temel nedeninin, kimlik doğrulama olmadan uzaktan çağrılabilen, phMonitor hizmetindeki düzinelerce komut işleyicisinin açığa çıkması olduğunu açıklayan ayrıntılı bir yazı yayınladı.
Araştırmacılar, bu hizmetin birkaç yıldır CVE-2023-34992 ve CVE-2024-23108 gibi birden fazla FortiSIEM güvenlik açığı için giriş noktası olduğunu söylüyor ve Black Basta gibi fidye yazılımı gruplarının daha önce bu kusurlara samimi ilgi gösterdiğinin altını çiziyor.
Araştırmacılar, CVE-2025-25256 ile ilgili teknik ayrıntıların yanı sıra açıklayıcı bir istismar da yayınladılar. Satıcının düzeltmeyi sunması ve bir güvenlik tavsiyesi yayınlaması nedeniyle araştırmacılar, yararlanma kodunu paylaşmaya karar verdi.
Kusur, FortiSIEM’in 6.7’den 7.5’e kadar olan sürümlerini etkiliyor ve düzeltmeler aşağıdaki sürümlerde kullanıma sunuldu:
- FortiSIEM 7.4.1 veya üzeri
- FortiSIEM 7.3.5 veya üzeri
- FortiSIEM 7.2.7 veya üzeri
- FortiSIEM 7.1.9 veya üzeri
FortiSIEM 7.0 ve 6.7.0 da etkilendi ancak artık desteklenmiyor, dolayısıyla CVE-2025-25256 için bir düzeltme alamayacaklar.
Fortinet, bu kusurun FortiSIEM 7.5 ve FortiSIEM Cloud’u etkilemediğini açıkladı.
Güvenlik güncelleştirmesini hemen uygulayamayanlar için satıcı tarafından sağlanan tek geçici çözüm, phMonitor bağlantı noktasına (7900) erişimi sınırlamaktır.
Horizon3.ai ayrıca şirketlerin güvenliği ihlal edilmiş sistemleri tespit etmesine yardımcı olabilecek güvenlik ihlali göstergelerini de paylaştı. PhMonitor (/opt/phoenix/log/phoenix.logs) tarafından alınan mesajların günlüklerine bakıldığında, ‘PHL_ERROR’ satırının yükün URL’sini ve yazıldığı dosyayı içermesi gerekir.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.