Обнаружена критическая уязвимость внедрения команд (command injection) в продукте Fortinet FortiSIEM, сопровождаемая публикацией общедоступного кода для её эксплуатации. Исследователи утверждают, что злоумышленники могли удаленно получать неавторизованный доступ с правами суперпользователя (root) к платформе SIEM на протяжении почти трёх лет. Эта уязвимость относится к классу недочетов в FortiSIEM, зафиксированных ещё в 2023 и 2024 годах.
Уязвимость, отслеживаемая как CVE-2025-64155, затрагивает службу phMonitor — внутренний компонент FortiSIEM, работающий с повышенными привилегиями и играющий центральную роль в обеспечении работоспособности и мониторинге системы. Код для эксплуатации был обнародован на этой неделе платформой для тестирования на проникновение Horizon3.ai. Эксперты выяснили, что эта брешь позволяет атакующим внедрять команды и записывать произвольные файлы, которые затем исполняются от имени пользователя root.
По данным Horizon3, о наличии уязвимости ответственно сообщили компании Fortinet в августе 2025 года. Информация оставалась конфиденциальной до тех пор, пока производитель не выпустил исправления и не присвоил CVE во вторник.
phMonitor становится шлюзом к root-доступу без аутентификации
Проблема связана со службой phMonitor в FortiSIEM, которая прослушивает TCP-порт 7900 и предназначена для координации внутренних задач мониторинга. Согласно отчету Horizon3.ai, недостаточная очистка вводимых данных позволяет злоумышленникам внедрять команды оболочки, которые в конечном итоге записываются на диск и выполняются с привилегиями root без какой-либо аутентификации.
Поскольку phMonitor глубоко интегрирован в рабочий процесс FortiSIEM, успешная эксплуатация фактически передает атакующим полный контроль над устройством для сбора информации о безопасности и управления событиями (SIEM). Этот контроль может быть использован для отключения ведения журналов, фальсификации оповещений или горизонтального перемещения в более широкую корпоративную сеть.
Исследователи Horizon3 отметили в записи в блоге, что CVE-2025-64155 — это не изолированный дефект, а часть более широкого класса слабостей, связанных с phMonitor, которые обнаруживались в ходе нескольких циклов раскрытия информации. Ранее сообщалось о проблемах, затрагивающих ту же службу, которые позволяли осуществлять различные формы внедрения команд или аргументов, иногда с более ограниченными возможностями, но неизменно выставляя phMonitor как поверхность для неавторизованных атак.
«Служба phMonitor распределяет входящие запросы соответствующим обработчикам функций на основе типа команды, отправленной в API-запросе», — пояснили они. «Каждый обработчик команды сопоставлен с целым числом, которое передается в сообщении команды. Проблема безопасности №1 заключается в том, что все эти обработчики доступны для вызова любому удаленному клиенту без какой-либо аутентификации».
До раскрытия CVE-2025-64155 компания Fortinet уже устранила связанный критический дефект внедрения команд в FortiSIEM, отслеживаемый как CVE-2025-25256, в начале августа 2025 года. Эта уязвимость также возникла из-за некорректной обработки вводимых команд ОС и была достаточно серьезной, чтобы Fortinet признала наличие в дикой природе рабочего кода для её эксплуатации, что и послужило поводом для выпуска исправлений для нескольких поддерживаемых версий FortiSIEM.
Код эксплойта меняет уравнение риска
Хотя Fortinet выпустила патчи и рекомендации по смягчению последствий, анализ компании Tenable подчеркивает высокую вероятность реальных атак, поскольку рабочий код для эксплуатации теперь находится в открытом доступе.
«Недавнее раскрытие CVE-2025-64155 вместе с общедоступным кодом эксплойта — тревожное начало 2026 года», — заявил Скотт Кавеза, старший инженер-исследователь в Tenable. «Хотя об известных случаях эксплуатации не сообщалось, уязвимости Fortinet остаются главной целью для злоумышленников, включая хакерские группы, спонсируемые государствами».
И Horizon3, и Tenable настаивают на том, чтобы организации немедленно применили исправления от Fortinet и, по возможности, ограничили доступ к порту 7900. Даже при отсутствии подтвержденной эксплуатации CVE-2025-64155 представляет собой цель высокой ценности.
CVE-2025-64155 имеет критический рейтинг опасности с баллом CVSS 9.4 из 10 и затрагивает несколько релизов FortiSIEM, включая 7.4.0, 7.3.0–7.3.4, 7.1.0–7.1.8, 7.0.0–7.0.4 и 6.7.0–6.7.10. Fortinet выпустила пропатченные сборки, такие как FortiSIEM 7.4.1, 7.3.5, 7.2.7 и 7.1.9 (и более поздние), для устранения этой проблемы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
