Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Kritische FortiSIEM-Lücke erlaubt vollständige Systemübernahme : Remote-Codeausführung bedroht zentrale Überwachungsinfrastrukturen

Ein kritischer Fehler in FortiSIEM erlaubt es Angreifern ohne vorherige Anmeldung, betroffene Systeme vollständig zu übernehmen. Fortinet hat Sicherheitsupdates veröffentlicht und warnt ausdrücklich vor einer akuten Ausnutzbarkeit der Schwachstelle.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 2 Min.

Fortinet hat Sicherheitsupdates veröffentlicht, um eine kritische Schwachstelle in FortiSIEM zu beheben. Die unter CVE-2025-64155 geführte Lücke ermöglicht eine nicht authentifizierte Remote-Codeausführung und erreicht im CVE-Bewertungssystem einen Wert von 9,4 von 10,0. Betroffen sind zentrale Komponenten vieler sicherheitskritischer Überwachungsumgebungen.

Technischer Hintergrund der Schwachstelle

Nach Angaben des Herstellers handelt es sich um eine Betriebssystem-Schwachstelle nach CWE-78. In einem aktuellen Sicherheitsbulletin heißt es: „Eine unsachgemäße Neutralisierung spezieller Elemente … kann es einem nicht authentifizierten Angreifer ermöglichen, über manipulierte TCP-Anfragen nicht autorisierten Code oder Befehle auszuführen.“ Die Lücke betrifft ausschließlich Super- (Steuer- und Koordinationsinstanzen einer FortiSIEM-Umgebung) und Worker-Knoten (für operative Datenverarbeitung zuständig).

Der Sicherheitsforscher Zach Hanley von Horizon3.ai beschreibt die Schwachstelle als Zusammenspiel zweier Mechanismen:

  • Eine nicht authentifizierte Argument-Injection-Schwachstelle, die willkürliches Schreiben von Dateien erlaubt und die Remote-Ausführung von Code als Administrator ermöglicht
  • Eine Sicherheitslücke durch Überschreiben von Dateien, die zu Root-Zugriff und vollständiger Kompromittierung des Geräts führt

Konkret hängt das Problem damit zusammen, wie der phMonitor-Dienst von FortiSIEM eingehende Anfragen verarbeitet. Dieser Dienst ist ein zentraler Backend-Prozess, der für die Zustandsüberwachung, die Aufgabenverteilung sowie die Kommunikation zwischen den Knoten über den TCP-Port 7900 zuständig ist und dabei auch Protokolle zu Sicherheitsereignissen an Elasticsearch übermittelt.

Im weiteren Ablauf wird ein Shell-Skript mit Parametern aufgerufen, die vom Angreifer beeinflusst werden können. Dadurch entsteht die Möglichkeit einer Argument-Injection über curl. In der Folge lassen sich beliebige Dateien auf die Festplatte schreiben, und zwar im Kontext des Administrator-Benutzers.

Diese zunächst eingeschränkte Möglichkeit, Dateien zu schreiben, lässt sich gezielt ausnutzen, um das System vollständig zu übernehmen. Dazu missbraucht der Angreifer die Argument-Injection in curl, um eine Reverse-Shell in die Datei „/opt/charting/redishb.sh“ zu schreiben. Diese Datei ist für einen Administrator beschreibbar und wird von der Appliance jede Minute über einen Cron-Job ausgeführt, der mit Root-Rechten läuft.

Anders gesagt: Wird in diese Datei eine Reverse-Shell geschrieben, kann der Angreifer seine Rechte von Administrator auf Root erweitern und erhält damit uneingeschränkten Zugriff auf die FortiSIEM-Appliance. Besonders kritisch ist dabei, dass der phMonitor-Dienst mehrere Befehlshandler bereitstellt, die keinerlei Authentifizierung erfordern. Ein Angreifer muss lediglich Netzwerkzugriff auf Port 7900 erlangen, um diese Funktionen aufzurufen.

Betroffene und sichere Versionen

Fortinet hat die Schwachstelle in folgenden Versionen adressiert:

  • FortiSIEM 6.7.0 bis 6.7.10 – Migration zu einer korrigierten Version
  • FortiSIEM 7.0.0 bis 7.0.4 – Migration zu einer korrigierten Version
  • FortiSIEM 7.1.0 bis 7.1.8 – Upgrade auf 7.1.9 oder höher
  • FortiSIEM 7.2.0 bis 7.2.6 – Upgrade auf 7.2.7 oder höher
  • FortiSIEM 7.3.0 bis 7.3.4 – Upgrade auf 7.3.5 oder höher
  • FortiSIEM 7.4.0 – Upgrade auf 7.4.1 oder höher
  • FortiSIEM 7.5 – nicht betroffen
  • FortiSIEM Cloud – nicht betroffen

Als temporären Workaround empfiehlt der Hersteller, den Zugriff auf den phMonitor-Port 7900 strikt zu beschränken.

Weitere kritische Lücke in FortiFone

Zusätzlich hat Fortinet eine weitere kritische Schwachstelle in FortiFone geschlossen. Die als CVE-2025-47855 geführte Lücke erreicht einen CVE-Wert von 9,3 und erlaubt es, über speziell gestaltete HTTP(S)-Anfragen Gerätekonfigurationen auszulesen. Betroffen sind:

  • FortiFone 3.0.13 bis 3.0.23 – Upgrade auf 3.0.24 oder höher
  • FortiFone 7.0.0 bis 7.0.1 – Upgrade auf 7.0.2 oder höher
  • FortiFone 7.2 – nicht betroffen

Proof of Concept erhöht den Handlungsdruck

Horizon3.ai hat inzwischen einen Proof-of-Concept-Exploit veröffentlicht, der demonstriert, wie CVE-2025-64155 aus der Ferne und ohne Authentifizierung zur vollständigen Geräteübernahme genutzt werden kann. Für Betreiber von FortiSIEM-Installationen bedeutet das: zeitnahes Aktualisieren ist keine Option, sondern zwingende Notwendigkeit.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.