Exploit code public for critical FortiSIEM command injection flaw
Mis à jour :
Fuite critique dans FortiSIEM : Code d’exploitation public disponible
Un code d’exploitation public a été diffusé pour une faille de sécurité critique affectant la solution FortiSIEM de Fortinet. Cette vulnérabilité, identifiée sous la référence CVE-2025-25256, permet à un attaquant distant non authentifié d’exécuter du code ou des commandes arbitraires.
Points clés :
- La faille découle de l’exposition de plusieurs gestionnaires de commandes via le service
phMonitor, lesquels peuvent être invoqués à distance sans authentification. - Ce même service a été la porte d’entrée pour d’autres vulnérabilités de FortiSIEM par le passé, suscitant l’intérêt de groupes de ransomware.
- Des chercheurs de Horizon3.ai ont identifié et publié des détails techniques ainsi qu’un code d’exploitation fonctionnel pour cette vulnérabilité.
Vulnérabilités :
- CVE-2025-25256 : Une mauvaise neutralisation des éléments spéciaux dans une commande système (“improper neutralization of special elements used in an OS command”). Cette faille permet une écriture arbitraire avec des privilèges d’administrateur et une escalade vers un accès root.
Versions affectées :
- FortiSIEM versions 6.7 à 7.5.
- Les versions 7.0 et 6.7.0 sont également affectées mais ne sont plus supportées et ne recevront donc pas de correctif.
- FortiSIEM 7.5 et FortiSIEM Cloud ne sont pas impactés.
Recommandations :
- Mise à jour immédiate : Appliquer les correctifs disponibles pour les versions suivantes :
- FortiSIEM 7.4.1 et supérieur
- FortiSIEM 7.3.5 et supérieur
- FortiSIEM 7.2.7 et supérieur
- FortiSIEM 7.1.9 et supérieur
- Solution de contournement temporaire : Si la mise à jour n’est pas immédiatement possible, limiter l’accès au port 7900 du service
phMonitor. - Surveillance des journaux : Examiner les journaux du fichier
/opt/phoenix/log/phoenix.logspour des messages contenant ‘PHL_ERROR’, qui pourraient indiquer une charge utile compromise et le chemin du fichier utilisé.