資安輪迴下的嚴重威脅背景

2026 年才剛開始，但對於 Fortinet 的客戶來說，2026 年已經似曾相識，因為一個新的漏洞遭到了攻擊。1月13日，Fortinet揭露了其FortiSIEM平台的一個嚴重漏洞，漏洞編號為CVE-2025-64155，CVSS評分為9.4。此作業系統命令注入漏洞允許未經身份驗證的攻擊者透過精心建構的TCP請求，在FortiSIEM實例上執行遠端程式碼（RCE）。這種高嚴重性的漏洞出現在核心監控平台中，對企業的安全營運中心（SOC）構成了直接且致命的威脅。

威脅活動監測與實際利用現況

隨著名為「Defused」的網路安全廠商發布警告，該漏洞的風險等級已從理論轉向現實威脅。昨天，網路安全廠商Defused在X論壇上發文警告稱，CVE-2025-64155漏洞已被實際利用。 Defused蜜罐監測到的威脅活動大多來自不同的IP位址，其中包括三個來自中國營運商的IP位址。Dark Reading已聯繫Fortinet公司徵求意見，但截至發稿時，該公司尚未作出回應。這顯示出威脅行為者在漏洞揭露後的極短時間內便完成了攻擊武器化。

技術解析：phMonitor 服務的設計缺陷

CVE-2025-64155漏洞由Horizon3發現並回報給Fortinet。 Horizon3於週二發布了一篇技術部落格文章和概念驗證（PoC）漏洞利用程式。Defused 的創始人兼執行長 Simo Kohonen指出，針對Defused蜜罐的攻擊活動似乎使用了Horizon3的PoC漏洞利用程式。

「我認為可以肯定地說，PoC 對漏洞利用產生了很大的影響，一些漏洞利用有效載荷與 [Horizon3] 代碼非常相似（在某些情況下甚至是逐字逐句的，這很有趣，因為漏洞利用 PoC 中存在佔位符），」他在一封電子郵件中說道。這反映出攻擊者正大量複製現有的 PoC 代碼進行大規模掃描。

Horizon3 的攻擊工程師 Zach Hanley 在部落格文章中解釋說，該漏洞源於 FortiSIEM 的 phMonitor 服務之前發現的安全問題，該服務監控平台進程並將傳入的請求定向到正確的命令處理程序。phMonitor 本應作為內部管理的中樞，卻因缺乏適當的邊界防護而成為攻擊者的突破口。

FortiSIEM 常見攻擊面與歷史漏洞關聯

Hanley指出，問題在於phMonitor的命令處理程序是公開的，任何遠端使用者無需身份驗證即可呼叫。因此，攻擊者可以濫用這些命令處理程序，並利用諸如檢索和設定密碼之類的管理功能。這種設計上的不安全性並非首例，phMonitor 的問題也導致了更早的漏洞；Horizon3 的研究人員先前發現了CVE-2024-23108和 CVE-2023-34992，這兩個漏洞都是 FortiSIEM 的最高嚴重等級漏洞。

儘管 Fortinet 多年來試圖修補此組件，但其核心架構的脆弱性依然存在。Hanley 寫道，在過去幾年裡，phMonitor 暴露了大量管理功能的處理器，但現在由於暴露的處理器數量減少，攻擊面已顯著縮小。然而，CVE-2025-64155 的出現證明，即便攻擊面縮小，殘存的命令處理邏輯若未經徹底的輸入驗證，依然會導致毀滅性的 RCE 漏洞。

關鍵基礎設施的防禦建議與緩解措施

針對此類作業系統命令注入漏洞，組織應立即採取以下行動。首先，應優先檢查 FortiSIEM 實例的韌體版本，並立即升級至官方發布的修復版本。由於漏洞可透過 TCP 請求觸發，企業應在邊界防火牆或 Web 應用防火牆（WAF）上限制對 FortiSIEM 管理埠（特別是與 phMonitor 相關的服務埠）的存取，僅允許受信任的 IP 地址進行連接。

此外，監控系統日誌中的異常 TCP 流量與非預期的系統命令執行紀錄至關重要。鑑於已有 PoC 在外流傳且被威脅行為者利用，建議進行溯源分析，檢查是否存在與 Defused 報告中提到的異常 IP 相關的連線紀錄。

強化軟體定義安全的深度韌體管理

從 CVE-2023 到 2026 年的 CVE-2025-64155，FortiSIEM 的漏洞演變歷程提醒我們，單純的補丁管理不足以應對持久性的架構缺陷。台灣應用軟件供應商與企業客戶在部署此類高權限監控工具時，必須採取「零信任」架構，將管理介面與公共網路徹底隔離。唯有透過深度的流量檢測與持續的資產加固，才能在漏洞頻發的環境中，確保企業 SOC 核心系統的持續運作與資訊安全。