Компания Fortinet выпустила важные обновления безопасности для устранения критической бреши в системе FortiSIEM, которая ставит под угрозу защищенность корпоративных сетей. Уязвимость получила идентификатор CVE-2025-64155 и была оценена в 9.4 балла из 10.0 по шкале CVSS, что свидетельствует о чрезвычайно высоком уровне риска. Данная ошибка классифицируется как CWE-78 (ненадлежащая нейтрализация специальных элементов в команде ОС) и представляет собой внедрение команд операционной системы. Она позволяет неаутентифицированному злоумышленнику добиться удаленного выполнения кода (RCE) на уязвимых инстансах посредством специально сформированных TCP-запросов.
Проблема была обнаружена исследователем Заком Хэнли (Zach Hanley) из компании , который передал информацию вендору 14 августа 2025 года. Корень проблемы кроется в службе phMonitor, которая является бэкенд-процессом, отвечающим за мониторинг работоспособности, распределение задач и взаимодействие между узлами. Служба функционирует на TCP-порту 7900, а триггером для эксплуатации уязвимости служит обработка входящих запросов, связанных с логированием событий безопасности в Elasticsearch. Ключевая слабость заключается в том, что обработчики команд сервиса phMonitor не требуют проверки подлинности пользователя.
Техническая реализация атаки включает в себя цепочку из двух этапов. Сначала происходит инъекция аргументов: система вызывает shell-скрипт с параметрами, контролируемыми пользователем, что позволяет внедрить аргументы через утилиту curl. Это дает атакующему возможность производить произвольную запись файлов на диск с правами пользователя admin. Однако на этом компрометация не заканчивается, так как злоумышленники могут использовать полученный доступ для дальнейшего повышения привилегий.
Второй этап атаки базируется на перезаписи целевого файла
Для защиты инфраструктуры администраторам необходимо немедленно проверить версии установленного ПО. Уязвимости подвержены версии 7.1.0 — 7.1.8 (требуется обновление до 7.1.9 или выше), 7.2.0 — 7.2.6 (обновление до 7.2.7 или выше), 7.3.0 — 7.3.4 (обновление до 7.3.5 или выше) и версия 7.4.0 (необходим переход на 7.4.1 или выше). Для более старых веток 7.0 — 6.7.10 и 7.0.0 — 7.0.4 требуется полная миграция на исправленный релиз. Важно отметить, что FortiSIEM 7.5 и FortiSIEM Cloud данной проблеме не подвержены. В качестве временного обходного пути для CVE-2025-64155 рекомендуется ограничить доступ к порту phMonitor (7900).
В рамках своего «вторничного бюллетеня» Fortinet также раскрыла информацию о второй критической уязвимости, затрагивающей продукты FortiFone. Ошибке присвоен идентификатор CVE-2025-47855 и оценка 9.3 балла по шкале CVSS. Эта брешь позволяет неаутентифицированному злоумышленнику получить доступ к конфигурации устройства. Вектором атаки является специально созданный HTTP(S) запрос к странице веб-портала.
Пользователям FortiFone необходимо предпринять срочные меры по обновлению. Затронуты версии с 0.13 по 3.0.23, которые следует обновить до 3.0.24 или выше, а также версии с 7.0.0 по 7.0.1, требующие обновления до 7.0.2 или выше. Продукты на базе FortiFone 7.2 остаются в безопасности и не требуют вмешательства. Для обеспечения оптимальной защиты рекомендуется использовать только актуальные версии программного обеспечения.
Изображение носит иллюстративный характер
Проблема была обнаружена исследователем Заком Хэнли (Zach Hanley) из компании , который передал информацию вендору 14 августа 2025 года. Корень проблемы кроется в службе phMonitor, которая является бэкенд-процессом, отвечающим за мониторинг работоспособности, распределение задач и взаимодействие между узлами. Служба функционирует на TCP-порту 7900, а триггером для эксплуатации уязвимости служит обработка входящих запросов, связанных с логированием событий безопасности в Elasticsearch. Ключевая слабость заключается в том, что обработчики команд сервиса phMonitor не требуют проверки подлинности пользователя.
Техническая реализация атаки включает в себя цепочку из двух этапов. Сначала происходит инъекция аргументов: система вызывает shell-скрипт с параметрами, контролируемыми пользователем, что позволяет внедрить аргументы через утилиту curl. Это дает атакующему возможность производить произвольную запись файлов на диск с правами пользователя admin. Однако на этом компрометация не заканчивается, так как злоумышленники могут использовать полученный доступ для дальнейшего повышения привилегий.
Второй этап атаки базируется на перезаписи целевого файла
"/opt/charting/redishb.sh". Хотя этот файл доступен для записи пользователю admin, он выполняется устройством через планировщик задач cron с правами уровня root. Данная задача cron запускается каждую минуту, что позволяет злоумышленнику, подменившему содержимое скрипта, создать обратную оболочку (reverse shell). Это приводит к мгновенной эскалации привилегий от администратора до суперпользователя (root), предоставляя полный и неограниченный контроль над устройством. Для защиты инфраструктуры администраторам необходимо немедленно проверить версии установленного ПО. Уязвимости подвержены версии 7.1.0 — 7.1.8 (требуется обновление до 7.1.9 или выше), 7.2.0 — 7.2.6 (обновление до 7.2.7 или выше), 7.3.0 — 7.3.4 (обновление до 7.3.5 или выше) и версия 7.4.0 (необходим переход на 7.4.1 или выше). Для более старых веток 7.0 — 6.7.10 и 7.0.0 — 7.0.4 требуется полная миграция на исправленный релиз. Важно отметить, что FortiSIEM 7.5 и FortiSIEM Cloud данной проблеме не подвержены. В качестве временного обходного пути для CVE-2025-64155 рекомендуется ограничить доступ к порту phMonitor (7900).
В рамках своего «вторничного бюллетеня» Fortinet также раскрыла информацию о второй критической уязвимости, затрагивающей продукты FortiFone. Ошибке присвоен идентификатор CVE-2025-47855 и оценка 9.3 балла по шкале CVSS. Эта брешь позволяет неаутентифицированному злоумышленнику получить доступ к конфигурации устройства. Вектором атаки является специально созданный HTTP(S) запрос к странице веб-портала.
Пользователям FortiFone необходимо предпринять срочные меры по обновлению. Затронуты версии с 0.13 по 3.0.23, которые следует обновить до 3.0.24 или выше, а также версии с 7.0.0 по 7.0.1, требующие обновления до 7.0.2 или выше. Продукты на базе FortiFone 7.2 остаются в безопасности и не требуют вмешательства. Для обеспечения оптимальной защиты рекомендуется использовать только актуальные версии программного обеспечения.
