Fortinet waarschuwt gebruikers voor een kritieke bug in FortiSIEM. Code waarmee criminelen de bug kunnen uitbuiten, is al in het wild gesignaleerd.
Fortinet waarschuwt zijn klanten voor een nieuwe kwetsbaarheid. CVE-2025-25256 is een ernstige bug waarmee hackers niet-geautoriseerde code kunnen uitvoeren. Via een CLI-request is het mogelijk om eigen instructies uit te voeren op het besturingssysteem, waarna criminelen de hele omgeving kunnen overnemen. De bug krijgt een CVSS-score van 9,8.
Kwetsbare versies
FortiSIEM 7.4 is niet kwetsbaar. Gebruikers van die versie zijn veilig. Voor FortiSIEM 6.6 en ouder (tot FortiSIEM 5.4) is er geen patch en raadt Fortinet aan om te upgraden naar een release die wel veilig is. Volgende FortiSIEM-versies dienen gepatcht te worden:
- FortiSIEM 7.3: upgrade naar 7.3.2 of hoger
- FortiSIEM 7.2: upgrade naar 7.2.6 of hoger
- FortiSIEM 7.1: upgrade naar 7.1.8 of hoger
- FortiSIEM 7.0: upgrade naar 7.0.4 of hoger
- FortiSIEM 6.7: upgrade naar 6.7.10 of hoger
In afwachting van een upgrade kunnen bedrijven het risico via een workaround beperken. Daartoe volstaat het om de toegang tot de phMonitor-poort (7900) te beperken.
Fortinet benadrukt dat deze bug niet louter theoretisch is. Functionele code om de kwetsbaarheid uit te buiten, circuleert al op het internet. Snel patchen is dus essentieel.
De bug volgt een eerdere golf van aanvallen gericht op Fortinet SSL-VPN’s. Daarbij signaleerde beveiligingsbedrijf GreyNoise plots een piek in malafide inlogpogingen gebruik makend van brute force of gestolen inloggegevens. Het is onduidelijk of beide zaken gerelateerd zijn.