Krytyczna podatność w FortiSIEM
W FortiSIEM wykryto krytyczną podatność umożliwiającą zdalne, nieuwierzytelnione wykonanie poleceń systemowych z uprawnieniami root. Luka stanowi poważne zagrożenie, ponieważ jej wykorzystanie może prowadzić do pełnej kompromitacji środowiska monitorującego i zarządzającego bezpieczeństwem.
Charakterystyka podatności
- Oznaczenie: CVE‑2025‑64155
- Score CVSS 3.1: 9,8 (Critical)
Jak działa podatność
Podatność typu OS Command Injection (CWE‑78) występuje w FortiSIEM i wynika z braku odpowiednich zabezpieczeń w obsłudze parametrów komendy curl w module phMonitor. Nieuwierzytelniony atakujący może, poprzez specjalnie spreparowane żądania TCP, wstrzyknąć własne argumenty do polecenia systemowego, co prowadzi do:
- wykonania dowolnych komend z uprawnieniami root,
- uruchomienia złośliwego kodu w systemie,
- pełnego przejęcia kontroli nad podatną instalacją.
- Skutki obejmują poważne naruszenie:
- poufności danych,
- integralności systemu,
- dostępności środowiska (np. poprzez wyłączenie usług lub instalację backdoorów).
Podatne systemy
Podatność dotyczy FortiSIEM w wersjach:
- 6.7.0 – 6.7.10
- 7.0.0 – 7.0.4
- 7.1.0 – 7.1.8
- 7.3.0 – 7.3.4
- 7.4.0
Działania zapobiegawcze
Zalecamy:
- niezwłoczną aktualizację FortiSIEM do wersji wskazanej przez producenta
- weryfikację logów pod kątem nietypowych żądań TCP,
- dodatkowy przegląd integralności systemów monitorowanych przez FortiSIEM.
Dlaczego to ważne
Brak wymogu uwierzytelnienia, niska złożoność ataku oraz możliwość wykonania poleceń z uprawnieniami root sprawiają, że jest to jedna z najgroźniejszych podatności w FortiSIEM. Jej wykorzystanie może prowadzić do pełnej kompromitacji infrastruktury i eskalacji ataku w całym środowisku.