Fortinet đã phát hành các bản cập nhật để khắc phục một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến FortiSIEM, có thể cho phép kẻ tấn công không cần xác thực thực thi mã trên các phiên bản dễ bị tổn thương.
Lỗ hổng OS injection, được theo dõi là CVE-2025-64155, được đánh giá 9.4 trên thang điểm CVSS 10.0.
"Một lỗ hổng improper neutralization of special elements used in an OS command ('OS command injection') [CWE-78] trong FortiSIEM có thể cho phép kẻ tấn công không cần xác thực thực thi mã hoặc lệnh trái phép thông qua các yêu cầu TCP được chế tạo đặc biệt," công ty cho biết trong một bản tin hôm thứ Ba.
Fortinet cho biết lỗ hổng chỉ ảnh hưởng đến các node Super và Worker, và đã được khắc phục trong các phiên bản sau:
- FortiSIEM 6.7.0 đến 6.7.10 (Di chuyển sang bản phát hành đã sửa lỗi)
- FortiSIEM 7.0.0 đến 7.0.4 (Di chuyển sang bản phát hành đã sửa lỗi)
- FortiSIEM 7.1.0 đến 7.1.8 (Nâng cấp lên 7.1.9 trở lên)
- FortiSIEM 7.2.0 đến 7.2.6 (Nâng cấp lên 7.2.7 trở lên)
- FortiSIEM 7.3.0 đến 7.3.4 (Nâng cấp lên 7.3.5 trở lên)
- FortiSIEM 7.4.0 (Nâng cấp lên 7.4.1 trở lên)
- FortiSIEM 7.5 (Không bị ảnh hưởng)
- FortiSIEM Cloud (Không bị ảnh hưởng)
Chi tiết về lỗ hổng CVE-2025-64155
Nhà nghiên cứu bảo mật Zach Hanley của Horizon3.ai, người được ghi nhận đã phát hiện và báo cáo lỗ hổng vào ngày 14 tháng 8 năm 2025, cho biết lỗ hổng này bao gồm hai phần chính:
- Một lỗ hổng unauthenticated argument injection dẫn đến ghi tệp tùy ý, cho phép thực thi mã từ xa với quyền người dùng admin.
- Một lỗ hổng file overwrite privilege escalation dẫn đến quyền root và chiếm quyền kiểm soát hoàn toàn thiết bị.
Cụ thể, vấn đề liên quan đến cách dịch vụ phMonitor của FortiSIEM – một quy trình backend quan trọng chịu trách nhiệm giám sát tình trạng, phân phối tác vụ và giao tiếp giữa các node qua cổng TCP 7900 – xử lý các yêu cầu đến liên quan đến việc ghi nhật ký các sự kiện bảo mật vào Elasticsearch.
Điều này, đến lượt nó, kích hoạt một shell script với các tham số do người dùng kiểm soát, từ đó mở ra cánh cửa cho argument injection thông qua curl và đạt được việc ghi tệp tùy ý vào đĩa trong ngữ cảnh người dùng admin.
Việc ghi tệp bị hạn chế này có thể được vũ khí hóa để chiếm quyền kiểm soát hệ thống hoàn toàn bằng cách khai thác lỗ hổng curl argument injection để ghi một reverse shell vào "/opt/charting/redishb.sh," một tệp có thể ghi bởi người dùng admin và được thực thi mỗi phút bởi thiết bị thông qua một tác vụ cron chạy với quyền root.
Nói cách khác, việc ghi một reverse shell vào tệp này cho phép privilege escalation từ admin lên root, cấp cho kẻ tấn công quyền truy cập không giới hạn vào thiết bị FortiSIEM. Khía cạnh quan trọng nhất của cuộc tấn công là dịch vụ phMonitor phơi bày một số trình xử lý lệnh không yêu cầu xác thực. Điều này giúp kẻ tấn công dễ dàng gọi các chức năng này chỉ bằng cách có được quyền truy cập mạng vào cổng 7900.
Lỗ hổng bảo mật FortiFone khác
Fortinet cũng đã phát hành các bản vá cho một lỗ hổng bảo mật nghiêm trọng khác trong FortiFone (CVE-2025-47855, điểm CVSS: 9.3) có thể cho phép kẻ tấn công không cần xác thực lấy được cấu hình thiết bị thông qua một yêu cầu HTTP(S) được chế tạo đặc biệt đến trang Web Portal. Lỗ hổng này ảnh hưởng đến các phiên bản sau của nền tảng truyền thông doanh nghiệp:
- FortiFone 3.0.13 đến 3.0.23 (Nâng cấp lên 3.0.24 trở lên)
- FortiFone 7.0.0 đến 7.0.1 (Nâng cấp lên 7.0.2 trở lên)
- FortiFone 7.2 (Không bị ảnh hưởng)
Người dùng được khuyến nghị cập nhật lên các phiên bản mới nhất để được bảo vệ tối ưu. Là các biện pháp khắc phục tạm thời cho CVE-2025-64155, Fortinet khuyến nghị khách hàng hạn chế quyền truy cập vào cổng phMonitor (7900).
