Fortinet a publié des mises à jour pour corriger une faille de sécurité critique affectant FortiSIEM qui pourrait permettre à un attaquant non authentifié d'exécuter du code sur des instances sensibles.
La vulnérabilité d'injection du système d'exploitation (OS), suivie comme CVE-2025-64155Il est noté 9,4 sur 10,0 sur le système de notation CVSS.
“Neutralisation inadéquate des éléments spéciaux utilisés dans une vulnérabilité de commande du système d'exploitation (“injection de commande du système d'exploitation”) [CWE-78] dans FortiSIEM peut permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisés via des requêtes TCP contrefaites”, a déclaré la société dans un bulletin publié mardi.
Fortinet a déclaré que la vulnérabilité affecte uniquement les nœuds Super et Worker et qu'elle a été corrigée dans les versions suivantes :
- FortiSIEM 6.7.0 à 6.7.10 (migrer vers une version fixe)
- FortiSIEM 7.0.0 à 7.0.4 (Migrer vers une version fixe)
- FortiSIEM 7.1.0 à 7.1.8 (mise à niveau vers 7.1.9 ou supérieur)
- FortiSIEM 7.2.0 à 7.2.6 (mise à niveau vers 7.2.7 ou supérieur)
- FortiSIEM 7.3.0 à 7.3.4 (mise à niveau vers 7.3.5 ou supérieur)
- FortiSIEM 7.4.0 (Mise à niveau vers 7.4.1 ou supérieur)
- FortiSIEM 7.5 (Non affecté)
- FortiSIEM Cloud (non affecté)
Zach Hanley, chercheur en sécurité chez Horizon3.ai, à qui on attribue la découverte et le signalement de la faille le 14 août 2025, a déclaré qu'elle se compose de deux parties mobiles :
- Une vulnérabilité d'injection d'arguments non authentifiés conduisant à l'écriture arbitraire de fichiers, permettant l'exécution de code à distance en tant qu'utilisateur administrateur.
- Une vulnérabilité d'élévation de privilèges d'écrasement de fichier qui conduit à un accès root et compromet complètement l'appareil
Plus précisément, le problème concerne la façon dont le service phMonitor de FortiSIEM, un processus backend crucial responsable de la surveillance de l'état, de la distribution des tâches et de la communication entre les nœuds sur le port TCP 7900, gère les demandes entrantes liées à la journalisation des événements de sécurité dans Elasticsearch.
Ceci, à son tour, invoque un script shell avec des paramètres contrôlés par l'utilisateur, ouvrant ainsi la porte à l'injection d'arguments via curl et à la réalisation d'écritures de fichiers arbitraires sur le disque dans le contexte de l'utilisateur administrateur.
Cette écriture de fichier limitée peut être utilisée pour réaliser une prise de contrôle complète du système en utilisant l'injection d'arguments curl pour écrire un shell inversé dans “/opt/charting/redishb.sh”, un fichier accessible en écriture par un utilisateur administrateur et exécuté par l'appareil toutes les minutes via une tâche cron exécutée avec des autorisations au niveau racine.
En d'autres termes, l'écriture d'un shell inversé dans ce fichier permet une élévation des privilèges de l'administrateur à la racine, accordant à l'attaquant un accès illimité au périphérique FortiSIEM. L'aspect le plus important de l'attaque est que le service phMonitor expose plusieurs gestionnaires de commandes qui ne nécessitent pas d'authentification. Cela permet à un attaquant d'invoquer plus facilement ces fonctions simplement en obtenant un accès réseau au port 7900.
Fortinet a également soumis des correctifs pour une autre vulnérabilité de sécurité critique dans FortiFone (CVE-2025-47855, score CVSS : 9,3) qui pourrait permettre à un attaquant non authentifié d'obtenir les paramètres de l'appareil via une requête HTTP(S) spécialement conçue vers la page du portail Web. Cela affecte les versions suivantes de la plateforme de communications d'entreprise :
- FortiFone 3.0.13 à 3.0.23 (mise à niveau vers 3.0.24 ou supérieur)
- FortiFone 7.0.0 à 7.0.1 (Mise à niveau vers 7.0.2 ou supérieur)
- FortiFone 7.2 (Non affecté)
Il est recommandé aux utilisateurs de mettre à jour vers les dernières versions pour une protection optimale. Pour contourner le problème CVE-2025-64155, Fortinet recommande aux clients de limiter l'accès au port phMonitor (7900).
