Güvenlik araştırmacıları, Fortinet’in Fortisiem platformunda, saldırganların herhangi bir kimlik bilgisi olmadan kurumsal güvenlik izleme sistemlerini tamamen tehlikeye atmalarını sağlayan ciddi bir ön planlama komutu enjeksiyon kırılganlığı ortaya çıkardılar.
CVE-2025-25256 olarak adlandırılan güvenlik açığı, gerçek dünya senaryolarındaki saldırganlar tarafından zaten kritik altyapı izleme araçlarının güvenliği konusunda acil endişeleri artırdı.
Kritik kusur tarafından vurulan kurumsal güvenlik platformu
Fortinet’in amiral gemisi güvenlik bilgileri ve etkinlik yönetimi (SIEM) çözümü olan Fortisiem, güvenlik olaylarını izlemek, tehditleri ilişkilendirmek ve otomatik olay müdahale yetenekleri sağlamak için kurumsal ortamlara yaygın olarak konuşlandırılmıştır.
Platform, kurumsal güvenlik operasyon merkezlerinin (SOCS) merkezi sinir sistemi olacak şekilde tasarlanmıştır ve bu kırılganlığı özellikle dünya çapında kuruluşlar ile ilgili hale getirir.
Kusur, 7900 bağlantı noktasında çalışan ve Fortisiem süreçlerinin sağlığını izlemekten sorumlu olan bir C ++ ikili olan Phonitor bileşeninde bulunur.
WatchTowr Labs’tan araştırmacılar, güvenlik açığının yetersiz girdi sterilizasyonundan kaynaklandığını keşfettiler. handleStorageArchiveRequest
işlev, burada kullanıcı tarafından kontrol edilen XML verilerinin uygun doğrulama olmadan işlendiği.
Güvenlik açığı, geniş bir Fortisiem versiyonlarını etkiler:
- 5.4 ila 7.3.1 arasındaki tüm sürümler sömürüye karşı savunmasızdır.
- Birkaç yıl öncesine dayanan eski sürümler, sabit sürümlere tam geçiş gerektirir.
- Fortisiem 7.4 bu güvenlik açığından etkilenmez.
- Yamalı versiyonlar 7.3.2, 7.2.6, 7.1.8, 7.0.4 ve 6.7.10’u içerir.
- Sürümler 6.6 ve daha önceki bir şekilde yamalanamaz ve tam göç gerektiremez.
Bu geniş etki, eski sürümleri yürüten kuruluşların potansiyel olarak önemli ölçüde uzlaşma riski olduğu anlamına gelir.
Gerçek Dünya Saldırıları
Belki de en endişe verici olanı, Fortinet’in “bu güvenlik açığı için pratik sömürü kodunun vahşi doğada bulunduğunu” kabul etmektir.
Bu vahiy, güvenlik açıklarının ancak güvenlik araştırmacıları ayrıntılı analizleri yayınladıktan sonra tehlikeli hale geldiği ortak anlatıya meydan okuyor.
Bunun yerine, kötü niyetli aktörlerin bu kusurları bağımsız olarak aktif olarak keşfettiğini ve sömürdüğünü göstermektedir.
Teknik analiz, saldırganların etkilenen Phonitor hizmetine özel olarak hazırlanmış XML yükleri göndererek bu güvenlik açığını kullanabileceğini ortaya koymaktadır.
Kötü niyetli girdi yetersiz olanı atlar addParaSafe
Sadece kapsamlı giriş dezenfekte olmak yerine temel alıntı kaçış yapan işlev.
Savunmasız sürümlerde bu, saldırganların Fortisiem sisteminin ayrıcalıklarıyla yürütülen keyfi komutlar enjekte etmelerini sağlar.
Güvenlik ekipleri bu güvenlik açığını derhal ilgi gerektiren kritik bir öncelik olarak ele almalıdır.
SIEM sistemlerinin özel olarak hedeflenmesi, bunu özellikle tehlikeli hale getirir, çünkü bu platformlardan ödün vermek, kuruluşları devam eden saldırılara kör edebilir ve potansiyel olarak saldırganlara ağ güvenlik duruşuna kapsamlı bir görünürlük sağlayabilir.
Kuruluşlar derhal Fortisiem dağıtımlarını envanterleştirmeli ve mevcut sürüm numaralarını Fortinet’in danışmanlığına karşı doğrulamalıdır.
Sürüm 6.6 ve daha önceki sürümler için Fortinet, artımlı güncellemeler yerine daha yeni, yamalı sürümlere tam geçiş önerir.
.webp)
WatchTowr Labs, güvenlik ekiplerinin ortamlarındaki potansiyel sömürü girişimlerini belirlemelerine yardımcı olmak için bir algılama arteFact jeneratörü yayınladı.
İstismarın sadeliği ve vahşi kullanımın onaylanması göz önüne alındığında, kuruluşlar aktif tarama ve sömürü girişimlerinin zaten gerçekleştiğini varsaymalıdır.
Olay, güvenlik altyapısının diğer kritik iş sistemlerine uygulanan aynı titiz koruma standartlarıyla ele alınmasının kritik önemini vurgulayarak güvenlik araçlarının güvenlik duruşuyla ilgili daha geniş endişelerin altını çiziyor.
AWS Security Services: 10-Point Executive Checklist - Download for Free