Критическая уязвимость в FortiSIEM позволяет удаленно выполнять произвольный код

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в системе управления информационной безопасностью и событиями FortiSIEM от компании Fortinet. Уязвимости присвоены идентификаторы BDU:2026-00369 и CVE-2025-64155. Проблема связана с компонентом "phMonitor" и классифицируется как критическая, поскольку позволяет удаленному злоумышленнику без аутентификации выполнить произвольный код на целевой системе.

Детали уязвимости

Уязвимость относится к классу внедрения команд операционной системы (CWE-78). Конкретно, она возникает из-за недостаточной нейтрализации специальных элементов в командах. Следовательно, атакующий может отправить специально сформированные TCP-запросы на порт 7900, который используется компонентом "phMonitor". В результате, злоумышленник получает возможность выполнить произвольные команды с максимальными привилегиями. Более того, это может привести к полной компрометации системы, установке вредоносного ПО или обеспечению устойчивости (persistence) атаки.

Подверженными являются широко используемые версии FortiSIEM. В частности, уязвимость затрагивает версии от 6.7.0 до 6.7.10, от 7.0.0 до 7.0.4, от 7.1.0 до 7.1.9, от 7.2.0 до 7.2.7, от 7.3.0 до 7.3.5, а также от 7.4.0 до 7.4.1. Таким образом, значительное число развернутых систем находятся в группе риска.

Важно отметить, что базовая оценка по методологии CVSS 3.1 составляет 9.8 баллов из 10 возможных. Это подтверждает высочайший уровень угрозы. Помимо этого, в открытом доступе уже существует доказательство концепции эксплойта, что значительно увеличивает актуальность риска. Следовательно, организации должны принять меры незамедлительно.

Производитель, компания Fortinet, подтвердил наличие уязвимости и выпустил соответствующие патчи. Основным способом устранения является установка обновлений программного обеспечения. Актуальная информация и инструкции по обновлению опубликованы в бюллетене безопасности Fortinet по ссылке FG-IR-25-772. Однако, в связи с действующими санкциями, российским организациям рекомендуется проводить дополнительную оценку всех сопутствующих рисков перед установкой обновлений из внешних источников.

Тем временем, для систем, где немедленное обновление невозможно, эксперты рекомендуют ряд компенсирующих мер. Прежде всего, необходимо ограничить удаленный доступ к уязвимым системам по TCP-порту 7900 с помощью правил межсетевого экранирования. Кроме того, следует минимизировать или полностью исключить доступ к FortiSIEM из сетей Интернет. Также, эффективной мерой является сегментация сети для изоляции системы управления безопасностью.

Дополнительно, для обнаружения попыток эксплуатации рекомендуется использовать системы обнаружения и предотвращения вторжений (IDS/IPS). Аналогично, для организации безопасного удаленного администрирования стоит применять виртуальные частные сети (VPN). Эти шаги не устраняют уязвимость, но существенно усложняют ее эксплуатацию для злоумышленников.

Учитывая критический характер уязвимости и наличие публичного эксплойта, угроза массовых инцидентов является реальной. Системы FortiSIEM часто занимают центральное место в инфраструктуре безопасности, аккумулируя логи и управляя событиями. Поэтому их компрометация может предоставить атакующим обширную информацию об инфраструктуре жертвы и средства для прикрытия дальнейших действий. В частности, это может облегчить скрытую установку программ-вымогателей (ransomware) или шпионского ПО.

В заключение, администраторам и специалистам по кибербезопасности настоятельно рекомендуется проверить используемые версии FortiSIEM. Если система попадает в список уязвимых, необходимо как можно скорее спланировать и провести ее обновление в соответствии с рекомендациями вендора. Параллельно, следует реализовать компенсирующие меры контроля доступа и мониторинга. Внимание к этой уязвимости должно быть повышенным, так как она представляет собой серьезный риск для целостности корпоративных сетей.

Детали уязвимости

Ссылки