Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Fortinet warns of FortiSIEM pre-auth RCE flaw with exploit in the wild

1 minute de lecture

Mis à jour :

Vulnérabilité critique dans FortiSIEM : Injection de commandes à distance

Une faille de sécurité critique a été identifiée dans FortiSIEM, permettant à un attaquant non authentifié d’exécuter du code arbitraire à distance. Cette vulnérabilité, référencée sous le code CVE-2025-25256 et classifiée avec un score CVSS de 9.8, est due à une mauvaise gestion d’éléments spéciaux dans les commandes du système d’exploitation, conduisant à une injection de commandes OS (CWE-78). Des preuves d’exploitation concrètes ont été observées dans la nature.

Points clés :

  • Produit affecté : FortiSIEM, un système de surveillance et d’analyse de sécurité utilisé par les centres d’opérations de sécurité.
  • Nature de la faille : Injection de commandes à distance non authentifiée.
  • Impact : Permet à un attaquant d’exécuter du code ou des commandes non autorisées via des requêtes CLI spécialement conçues.
  • Exploitation : Du code d’exploitation fonctionnel est disponible et a été observé “dans la nature”.
  • Détection : L’exploitation de cette faille ne génère pas d’indicateurs de compromission (IOC) distinctifs.
  • Contexte : Cette alerte intervient peu après une augmentation significative des attaques par force brute ciblant les VPN SSL de Fortinet.

Vulnérabilités :

  • CVE-2025-25256 : Injection de commandes OS (CWE-78) dans FortiSIEM.

Versions affectées :

  • FortiSIEM versions 5.4 à 7.3 (inclusivement).
  • Les versions 5.4 à 6.6 ne sont plus supportées et ne recevront pas de correctif.

Recommandations :

  • Mise à jour : Appliquer immédiatement les dernières mises à jour de sécurité en passant à l’une des versions corrigées suivantes :
    • FortiSIEM 7.3.2
    • FortiSIEM 7.2.6
    • FortiSIEM 7.1.8
    • FortiSIEM 7.0.4
    • FortiSIEM 6.7.10
  • Migration : Pour les versions 5.4 à 6.6, migrer vers une version activement supportée est fortement recommandé.
  • Contournement : En attendant la mise à jour, limiter l’accès à phMonitor sur le port 7900 peut réduire l’exposition. Il est rappelé que ce contournement ne corrige pas la vulnérabilité sous-jacente.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces