安全威脅摘要與漏洞核心定義
Fortinet 的安全資訊和事件管理 (SIEM) 解決方案存在一個嚴重漏洞,其技術細節和公開漏洞利用程序已被公佈。遠端未經身份驗證的攻擊者可以利用該漏洞執行命令或程式碼。該漏洞被追蹤為CVE-2025-25256。它結合了兩個問題,允許以管理員權限進行任意寫入,並允許權限提升至 root 存取權限。滲透測試公司 Horizon3.ai 的研究人員在 2025 年 8 月中旬報告了該安全問題。 11 月初,Fortinet 在該產品的五個開發分支中的四個分支中解決了該問題,並在本周宣布所有易受攻擊的版本都已修復。
漏洞技術原理:phMonitor 服務的設計缺陷
Fortinet 將CVE-2025-25256 漏洞描述 為「FortiSIEM 中作業系統命令漏洞所使用的特殊元素處理不當,可能允許未經身份驗證的攻擊者透過精心建構的 TCP 請求執行未經授權的程式碼或命令」。Horizon3.ai發布了一篇詳細的文章,解釋說該問題的根本原因是 phMonitor 服務上暴露了數十個命令處理程序,這些處理程序無需身份驗證即可遠端呼叫。研究人員表示,多年來,這項服務一直是多個 FortiSIEM 漏洞的入口點,例如 CVE-2023-34992 和 CVE-2024-23108,並強調像 Black Basta 這樣的勒索軟體組織先前曾對這些漏洞表現出濃厚的興趣。
受影響版本清單與修復現況
此漏洞影響 FortiSIEM 6.7 至 7.5 版本,除了 CVE-2025-25256 的技術細節外,研究人員還發布了一個演示漏洞利用程式。由於廠商已發布修復程式並發布了安全公告,研究人員決定公開漏洞利用程式碼。以下版本已提供修復:
- FortiSIEM 7.4.1 或更高版本
- FortiSIEM 7.3.5 或更高版本
- FortiSIEM 7.2.7 或更高版本
- FortiSIEM 7.1.9 或更高版本
- FortiSIEM 7.0 和 6.7.0 也受到影響,但已不再受支持,因此它們不會收到針對 CVE-2025-25256 的修復程序。
供應商澄清與權宜緩解措施
Fortinet澄清說,此缺陷不會影響FortiSIEM 7.5和FortiSIEM Cloud。針對使用舊版本或無法立即更新的企業,供應商為那些無法立即套用安全更新的用戶提供的唯一解決方法是限制對 phMonitor 連接埠 (7900) 的存取。此連接埠是漏洞利用的核心通道,嚴格的防火牆過濾規則可有效降低暴露風險。
威脅獵捕與入侵指標(IoC)
為了協助安全團隊確認系統是否遭受波及,Horizon3.ai 也分享了一些入侵指標,可以幫助企業偵測被入侵的系統。查看 phMonitor 接收的訊息日誌(/opt/phoenix/log/phoenix.logs),包含「PHL_ERROR」的行應該包含有效載荷的 URL 以及有效載荷寫入的檔案。管理員應定期稽核此日誌路徑,特別注意任何異常的 TCP 請求或未知的 URL 下載行為。
結論與防禦建議
CVE-2025-25256 的公開利用程序顯著提高了攻擊門檻的降低程度。鑑於勒索軟體組織對 FortiSIEM 漏洞的歷史興趣,管理員應優先更新至受支持的修復版本,對於已終止支援(EOL)的 7.0 與 6.7.0 版本,應立即規劃系統遷移。在補丁部署完成前,應將 phMonitor 服務連接埠置於受保護的網路段內,禁止任何來自非信任來源的存取。
資料來源:https://www.bleepingcomputer.com/news/security/exploit-code-public-for-critical-fortisiem-command-injection-flaw/