FortiSIEM: Proof-of-Concept-Exploit für kritische Lücke öffentlich

In der Nacht zum Mittwoch dieser Woche hat Fortinet Updates unter anderem für eine kritische Sicherheitslücke in FortiSIEM veröffentlicht. Inzwischen ist ein Proof-of-Concept-Exploit öffentlich verfügbar. Das vereinfacht es bösartigen Akteuren, die Sicherheitslücke zu missbrauchen. Angriffe darauf werden daher deutlich wahrscheinlicher. Admins sollten spätestens jetzt die Aktualisierungen anwenden.

Es geht um die Sicherheitslücke mit dem Schwachstelleneintrag CVE-2025-64155 (CVSS 9.4, Risiko „kritisch“). Durch sorgsam präparierte TCP-Anfragen können Angreifer aus dem Netz Schadcode einschleusen, der zur Ausführung gelangt. Ursächlich ist eine unzureichende Filterung von Elementen, die in Betriebssystembefehlen verwendet werden. Die Fehler korrigieren die FortiSIEM-Versionen 7.4.1, 7.3.5, 7.2.7 und 7.1.9; ältere Fassungen müssen zum Stopfen des Sicherheitslecks auf diese Stände migriert werden.

Die Schwachstelle wurde von IT-Forschern des Unternehmens horizon3.ai entdeckt. Diese haben zudem einen Proof-of-Concept-Exploit entwickelt und auf Github öffentlich bereitgestellt. Ihr Bericht erklärt die Sicherheitslücke detailliert. Zudem haben die IT-Forscher beispielhaft Anzeichen für Kompromittierungen (Indicators of Compromise, IOCs) aufgeführt.

Angriffsanzeichen in Log-Datei

Demzufolge landen Nachrichteninhalte des verwundbaren phMonitor-Dienstes in Protokolldateien im Ordner „/opt/phoenix/log/phoenix.logs“. In diesen Log-Dateien müssen Admins nach Einträgen mit „PHL_ERROR“ Ausschau halten. Dort finden sie die URL, von der Schadcode heruntergeladen, und die Information, in welche Datei auf dem System er dann geschrieben wurde.

Die horizon3.ai-Forscher geben an, dass sie die nun geschlossene Sicherheitslücke im Rahmen der Analyse der FortiSIEM-Sicherheitslücke CVE-2025-25256 aus dem vergangenen August entdeckt haben. Auch da stand Exploit-Code für das Sicherheitsleck bereit.

(dmk)