近期出现的高危漏洞中,就包括飞塔(Fortinet)FortiSIEM 安全信息与事件管理设备存在的严重漏洞,攻击者可通过远程利用该漏洞完全攻陷设备系统,进而侵入企业的内部网络。
该漏洞编号为CVE-2025-64155,网络安全公司 Defused 于本周四发布报告称,在飞塔发布安全预警后不久,其蜜罐系统就监测到了针对该漏洞的在野活跃利用尝试。
芬兰网络安全公司 Defused 的首席执行官兼创始人西莫・科霍宁表示,此次攻击尝试中,来自中国境内 IP 地址的攻击行为异常活跃,且在该漏洞细节公布后,一系列定向攻击几乎立即展开。
飞塔于 1 月 13 日公开了该漏洞的相关细节,发布安全公告披露这一操作系统命令注入漏洞,并推出软件更新包进行修复。公告指出,除 FortiSIEM 云版本及 7.5 版本外,所有 FortiSIEM 版本均存在 CVE-2025-64155 漏洞,该漏洞可能导致未通过身份验证的攻击者,通过构造恶意 TCP 请求执行未授权的代码或命令。
飞塔已发布 7.4.1、7.3.5、7.2.7 和 7.1.9 版本的修复程序以解决该问题。而 7.0.x 及 6.7.x 系列版本虽同样存在该漏洞,但飞塔表示不会为这些版本推出修复补丁,同时建议相关用户将系统迁移至仍受官方支持的已修复版本。
飞塔还指出,用户也可通过限制对 7900 端口上 phMonitor 服务的访问,实现对该漏洞的风险缓解。
该漏洞由网络安全公司 Horizon3 发现,该公司已于 2025 年 8 月 14 日将漏洞信息上报给飞塔。Horizon3 在技术深度分析中称,其向飞塔上报的漏洞包含两个:一是未授权的参数注入漏洞,该漏洞可导致任意文件写入,让攻击者以管理员权限执行远程代码;二是文件覆盖提权漏洞,攻击者可通过该漏洞获取系统最高 root 权限。为配合厂商修复,Horizon3 在漏洞上报后的 153 天里未对外透露任何相关信息,直至飞塔 1 月 13 日发布安全更新后才公开细节。
Horizon3 在协同漏洞披露声明中表示,该漏洞是其在 2025 年 8 月飞塔发布 FortiSIEM 设备另一款命令注入漏洞(编号CVE-2025-25256)的安全公告后,后续发现的新漏洞。
该公司称,CVE-2025-64155 漏洞存在于phMonitor 服务中,该服务是 FortiSIEM 设备不同功能模块的通信核心 —— 负责将数据上传至管理端的远程采集器,正是通过该服务基于 TCP/IP 传输自定义 API 消息实现通信。
同样在 1 月 13 日,Horizon3 还在 GitHub 平台上,发布了该漏洞的概念验证漏洞利用代码。
网络安全公司 Arctic Wolf 指出,Horizon3 发布的概念验证代码展示了攻击者如何将 CVE-2025-64155 漏洞武器化:通过向 curl 等工具注入命令,实现对设备的完全系统接管。未通过身份验证的攻击者可借助该方式,将反向 shell 载荷写入通常仅管理员有权限操作的文件,随后进一步提权获取系统 root 权限。
为防范此类漏洞被利用,飞塔建议企业将 FortiSIEM 设备部署在受保护的网络网段内,通过防火墙进行安全防护,避免设备直接暴露在公共互联网中。
Arctic Wolf 表示:“将该服务与公共互联网隔离,可有效缩小设备的攻击面,防止攻击者利用 CVE-2025-64155 这类高危漏洞实现初始入侵。”
攻击目标:边缘网络设备
飞塔此次发布漏洞预警的背景,是业界持续发出的安全警示:各类攻击者 —— 包括国家级黑客组织、勒索软件团伙及其他网络犯罪分子,正将边缘网络设备列为主要攻击目标。
网络安全公司 VulnChec 于本周三发布 2025 年已知被利用漏洞分析报告,发现防火墙、VPN 设备、代理服务器等网络边缘设备是被攻击者利用最多的目标,其次为内容管理系统和开源软件。
通常在漏洞被分配 CVE 编号、厂商发布公开安全预警后,针对该漏洞的利用行为就会迅速出现。
VulnChec 指出,2025 年有近 30% 的已知被利用漏洞,在CVE 编号发布当天或之前就已被攻击者利用。这一数据凸显了攻击者的行动速度,他们往往能在漏洞公开披露或获得 CVE 编号前,就完成漏洞的利用部署。
攻击者针对新漏洞的攻击行动向来十分迅速,但企业的漏洞修复工作却常常滞后,甚至从未开展。
本月早些时候,专注于对抗恶意软件、僵尸网络和网络欺诈的非营利安全组织 Shadowserver 基金会发出警示:其扫描发现,仍有超过 1 万台飞塔防火墙设备存在CVE-2020-12812 漏洞,而该漏洞的修复补丁,飞塔早在 5 年半前就已发布。
该基金会发布报告前,飞塔首席信息安全官卡尔・温莎已于 2025 年 12 月 24 日在博客中披露,飞塔监测到该漏洞在特定配置环境下,近期已出现实际在野利用行为。
在特定条件下,攻击者可利用该漏洞强制飞塔 FortiGate 防火墙启用特定身份验证选项,进而绕过双因素认证机制,实现对管理员账户和 VPN 账户的未授权访问。
温莎表示:“这一特殊的身份验证漏洞,根源在于 FortiGate 防火墙默认对用户名进行大小写敏感校验,而企业的 LDAP 目录服务通常不开启该校验规则。”
飞塔已于 2020 年 7 月在 FG-IR-19-283 安全公告中,发布了 FortiOS 6.0.10、6.2.4 和 6.4.1 版本的修复程序,可有效防范该漏洞攻击。但正如 Shadowserver 基金会的扫描结果所示,仍有大量企业未对存在漏洞的设备进行补丁修复。
针对尚未安装修复更新的企业,温莎详细列出了防护措施,可通过相关配置防止防火墙故障切换至错误配置的 LDAP 组设置,从而阻断攻击者对该漏洞的利用。
至于这些迟迟未安装补丁的企业,是否会至少采取上述风险缓解措施,以及具体何时实施,目前仍未可知。
发表评论
您还未登录,请先登录。
登录