CVE-2025-25256: FortiSIEM ломают без авторизации. Через один запрос к CLI-интерфейсу
NewsMakerПосле всплеска атак на Fortinet SSL VPN выявлена новая критическая брешь.
Fortinet объявила о критической уязвимости в системе FortiSIEM, которая уже сопровождается рабочим эксплойтом, распространяющимся в открытом доступе. Ошибка позволяет удалённому неаутентифицированному злоумышленнику выполнять произвольные команды на целевой системе, что делает установку обновлений безопасности неотложной задачей для всех администраторов.
FortiSIEM — это комплексная платформа централизованного мониторинга и аналитики событий информационной безопасности. Она собирает и обрабатывает логи, сетевую телеметрию и уведомления об инцидентах, помогая операционным и аналитическим командам выявлять и расследовать атаки в режиме реального времени. Решение используется в государственных структурах, банках, страховых компаниях, медучреждениях, а также у провайдеров управляемых сервисов безопасности, где играет ключевую роль в работе центров SOC .
Уязвимость получила идентификатор CVE-2025-25256 и максимальный уровень опасности по шкале CVSS — 9,8 балла. Ошибка затрагивает широкий диапазон версий FortiSIEM — от ветки 5.4 до 7.3 включительно. В основе проблемы лежит некорректная фильтрация специальных символов в командной строке операционной системы (CWE-78), из-за чего специально сформированный запрос к CLI-интерфейсу может привести к выполнению несанкционированного кода.
Fortinet не утверждает прямо, что уязвимость использовалась как нулевой день, однако подтверждает, что рабочий эксплойт уже зафиксирован «в дикой природе». Дополнительно отмечается, что эксплуатация CVE-2025-25256 не оставляет характерных признаков компрометации, по которым можно было бы однозначно выявить атаку. Это серьёзно осложняет проверку систем на предмет успешного взлома.
Сообщение об уязвимости появилось всего через день после предупреждения GreyNoise о резком росте атак перебором паролей на Fortinet SSL VPN, за которым последовал переход к сканированию FortiManager. Аналитики компании отмечали, что подобные всплески активности в большинстве случаев предшествуют раскрытию новой опасной ошибки в продуктах Fortinet . Связаны ли эти события с обнаружением CVE-2025-25256, пока неясно.
Из-за наличия кода PoC, пригодного для эксплуатации, Fortinet настоятельно рекомендует обновиться до защищённых версий: FortiSIEM 7.3.2, 7.2.6, 7.1.8, 7.0.4 или 6.7.10. Все релизы с 5.4 по 6.6 также уязвимы, но уже не поддерживаются и не получат исправлений. Владельцам таких систем следует планировать переход на актуальные версии, находящиеся в сопровождении.
В качестве временной меры компания советует ограничить доступ к компоненту phMonitor на порту 7900, который, по всей видимости, используется как точка входа при атаке. Однако такой шаг лишь снижает риск и даёт дополнительное время для подготовки апдейта — корневую проблему он не устраняет.
Fortinet объявила о критической уязвимости в системе FortiSIEM, которая уже сопровождается рабочим эксплойтом, распространяющимся в открытом доступе. Ошибка позволяет удалённому неаутентифицированному злоумышленнику выполнять произвольные команды на целевой системе, что делает установку обновлений безопасности неотложной задачей для всех администраторов.
FortiSIEM — это комплексная платформа централизованного мониторинга и аналитики событий информационной безопасности. Она собирает и обрабатывает логи, сетевую телеметрию и уведомления об инцидентах, помогая операционным и аналитическим командам выявлять и расследовать атаки в режиме реального времени. Решение используется в государственных структурах, банках, страховых компаниях, медучреждениях, а также у провайдеров управляемых сервисов безопасности, где играет ключевую роль в работе центров SOC .
Уязвимость получила идентификатор CVE-2025-25256 и максимальный уровень опасности по шкале CVSS — 9,8 балла. Ошибка затрагивает широкий диапазон версий FortiSIEM — от ветки 5.4 до 7.3 включительно. В основе проблемы лежит некорректная фильтрация специальных символов в командной строке операционной системы (CWE-78), из-за чего специально сформированный запрос к CLI-интерфейсу может привести к выполнению несанкционированного кода.
Fortinet не утверждает прямо, что уязвимость использовалась как нулевой день, однако подтверждает, что рабочий эксплойт уже зафиксирован «в дикой природе». Дополнительно отмечается, что эксплуатация CVE-2025-25256 не оставляет характерных признаков компрометации, по которым можно было бы однозначно выявить атаку. Это серьёзно осложняет проверку систем на предмет успешного взлома.
Сообщение об уязвимости появилось всего через день после предупреждения GreyNoise о резком росте атак перебором паролей на Fortinet SSL VPN, за которым последовал переход к сканированию FortiManager. Аналитики компании отмечали, что подобные всплески активности в большинстве случаев предшествуют раскрытию новой опасной ошибки в продуктах Fortinet . Связаны ли эти события с обнаружением CVE-2025-25256, пока неясно.
Из-за наличия кода PoC, пригодного для эксплуатации, Fortinet настоятельно рекомендует обновиться до защищённых версий: FortiSIEM 7.3.2, 7.2.6, 7.1.8, 7.0.4 или 6.7.10. Все релизы с 5.4 по 6.6 также уязвимы, но уже не поддерживаются и не получат исправлений. Владельцам таких систем следует планировать переход на актуальные версии, находящиеся в сопровождении.
В качестве временной меры компания советует ограничить доступ к компоненту phMonitor на порту 7900, который, по всей видимости, используется как точка входа при атаке. Однако такой шаг лишь снижает риск и даёт дополнительное время для подготовки апдейта — корневую проблему он не устраняет.