Компания Fortinet выпустила экстренные обновления для своего решения класса SIEM (Security Information and Event Management) - FortiSIEM. Причина - обнаруженная критическая уязвимость, позволяющая удалённо выполнять произвольные команды на операционной системе. Идентифицированная как CVE-2025-64155, эта брешь затрагивает версии продукта с 6.7.0 по 7.4.0 и уже получила максимально высокий балл опасности - 9.8 по шкале CVSS v3.
Детали уязвимости
Суть уязвимости заключается в некорректной обработке специальных элементов в командах ОС (OS Command Injection). Проще говоря, злоумышленники могут отправлять специально сформированные TCP-запросы к системе FortiSIEM. Поскольку для эксплуатации не требуется аутентификация, атака может быть проведена удалённо без каких-либо предварительных привилегий в системе. Успешная эксплуатация позволяет выполнить произвольный вредоносный код (malicious code) на сервере под управлением FortiSIEM.
Последствия такого вторжения крайне серьёзны. Злоумышленник получает возможность манипулировать поведением всей системы мониторинга безопасности. В частности, он может получить несанкционированный доступ к конфиденциальным данным, которые обрабатывает SIEM-платформа. Более того, атакующий может попытаться закрепиться в системе (обеспечить persistence), чтобы скрыть следы своего присутствия и других атак, или использовать скомпрометированный сервер для развёртывания дополнительного вредоносного ПО (payload), например, шифровальщика (ransomware).
Ситуация усугубляется тем, что в открытый доступ уже выложен рабочий код для эксплуатации (Proof-of-Concept, PoC). Обычно это служит триггером для волны атак, так как даже начинающие хакеры получают готовый инструмент. Более того, согласно данным из публичных источников, попытки эксплуатации этой уязвимости уже зафиксированы в специальных ловушках (honeypot). Это прямо указывает на то, что угроза перешла из теоретической в активную фазу.
Уязвимость затрагивает широкий спектр версий FortiSIEM, включая основные выпуски 7.x и 6.7.x. Fortinet настоятельно рекомендует всем пользователям немедленно обновить свои системы до исправленных версий. Актуальные патчи уже доступны. Компания также советует администраторам проверить свои сети на предмет необычной активности, связанной с TCP-портами, используемыми FortiSIEM.
Для команд безопасности (SOC) инцидент служит серьёзным напоминанием. Даже инструменты, призванные обеспечивать кибербезопасность, такие как SIEM, сами могут стать целью и вектором атаки. Поэтому регулярное обновление всего программного обеспечения, включая инфраструктурные решения безопасности, является обязательной базовой практикой. Эксперты также рекомендуют сегментировать сеть, чтобы ограничить доступ к управляющим интерфейсам критически важных систем, таких как FortiSIEM, только доверенным IP-адресам. Это не устраняет уязвимость, но значительно усложняет её удалённую эксплуатацию извне корпоративного периметра.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-64155
- https://fortiguard.fortinet.com/psirt/FG-IR-25-772
- https://advisories.ncsc.nl/2026/ncsc-2026-0019.html
- https://github.com/horizon3ai/CVE-2025-64155
