Fortinet 发布了紧急安全通告,披露其多版本 FortiSIEM 平台存在一个严重的远程未授权命令注入漏洞。FortiSIEM 是业内领先的安全信息与事件管理(SIEM)平台。该漏洞编号为 CVE-2025-25256,CVSS 评分高达 9.8,攻击者可在无需身份验证的情况下执行任意代码或系统命令。
漏洞源于 操作系统命令中对特殊字符处理不当(CWE-78)。远程攻击者可通过构造特定 CLI 请求,向平台注入并执行未授权命令。更令人担忧的是,安全研究人员已经在野外观察到该漏洞的可用利用代码,这使得修复的紧迫性大大提高。
受影响的 FortiSIEM 版本包括:
· FortiSIEM 7.3:7.3.0 – 7.3.1(已在 7.3.2 修复)
· FortiSIEM 7.2:7.2.0 – 7.2.5(已在 7.2.6 修复)
· FortiSIEM 7.1:7.1.0 – 7.1.7(已在 7.1.8 修复)
· FortiSIEM 7.0:7.0.0 – 7.0.3(已在 7.0.4 修复)
· FortiSIEM 6.7:6.7.0 – 6.7.9(已在 6.7.10 修复)
所有 6.6、6.5、6.4、6.3、6.2、6.1 和 5.4 版本 需迁移至已修复版本。
Fortinet 强烈建议尽快升级至上述修复版本。对于暂时无法升级的机构,可采取以下临时缓解措施:
- 限制对 phMonitor 端口(7900)的访问,仅允许来自受信任 IP 或内部网络的连接。
由于可用的攻击代码已公开,未打补丁的 FortiSIEM 实例面临极高风险。漏洞一旦被利用,攻击者可能获得系统的完全远程控制权,从而可能导致以下问题:
1. 窃取或导出安全日志和事件报告;
2. 禁用安全监控与告警功能;
3. 在网络内进行横向移动,攻击其他系统。
发表评论
您还未登录,请先登录。
登录