Fortinet heeft een kritieke kwetsbaarheid in zijn FortiSIEM-platform opgelost, die het mogelijk maakt voor een niet-geauthenticeerde aanvaller om op afstand code of commando’s uit te voeren op getroffen systemen. Volgens Fortinet is er al misbruik van deze kwetsbaarheid in de praktijk, aangezien er exploitcode ‘in het wild’ is waargenomen.
De kwetsbaarheid, aangeduid als CVE-2025-25256, heeft een zéér hoge CVSS-score van 9.8. Dit benadrukt de ernstige aard van het probleem en de potentiële impact ervan. De kwetsbaarheid wordt veroorzaakt door onvoldoende validatie van gebruikersinvoer, wat resulteert in een commando-injectie kwetsbaarheid. Door het versturen van speciaal geprepareerde verzoeken naar de kwetsbare server, kan een kwaadwillende code uitvoeren met de privileges van de phMonitor-service. Omdat de aanvaller hiervoor geen authenticatie nodig heeft, is de aanval laagdrempelig en zeer gevaarlijk.
Hoewel Fortinet geen gedetailleerde technische specificaties heeft vrijgegeven over de exploitcode die is waargenomen, hebben ze wel aangegeven dat deze geen onderscheidende indicators of compromise (IOC’s) achterlaat. Dit betekent dat het voor organisaties extra moeilijk kan zijn om te detecteren of hun systemen al zijn gecompromitteerd.
Fortinet raad aan
Fortinet adviseert klanten dringend om de patch zo snel mogelijk te installeren om het risico op uitbuiting te elimineren.
Als onmiddellijke patching niet mogelijk is, is er een tijdelijke oplossing beschikbaar: het beperken van de toegang tot poort 7900, de poort die wordt gebruikt door de kwetsbare phMonitor-service. Dit kan worden gedaan door firewallregels toe te passen die het verkeer naar deze poort beperken tot alleen vertrouwde netwerken of hosts.
Meer informatie via https://fortiguard.fortinet.com/psirt/FG-IR-25-152
Â
