FortiSIEM: CVE-2025-64155 sob exploração ativa

A Fortinet emitiu um alerta sobre a CVE-2025-64155, uma vulnerabilidade de injeção de comandos no serviço phMonitor do FortiSIEM, que permite execução remota de código (RCE) sem autenticação. Pesquisadores da Defused confirmaram exploração ativa em honeypots, com IPs maliciosos como 167.17.179.109 e 103.224.84.76. A falha afeta nós Super e Worker, possibilitando escalonamento para root e comprometimento total de SIEMs empresariais. Prova de conceito está disponível no GitHub, e a Fortinet liberou patches em advisories recentes.

A vulnerabilidade e sistemas afetados

Identificada como CVE-2025-64155 (CWE-78), a falha explora o phMonitor na porta TCP 7900, processando requisições XML maliciosas para injetar argumentos em comandos curl, permitindo escrita arbitrária de arquivos como admin. Pontuação CVSS de 9,8 reflete gravidade crítica. Afeta versões do FortiSIEM de 6.7 a 7.4; Cloud e 7.5 não são impactados.

Como a exploração é realizada

Invasores enviam requisições TCP crafted para porta 7900, usando payloads XML com tags como cluster_url para injetar flags curl (–next), sobrescrevendo binários como phLicenseTool e criando reverse shells como admin. Uma cadeia usa cronjobs editáveis (/etc/cron.d/fsm-crontab) para escalar a root, permitindo tampão de logs, exfiltração e movimento lateral. IOCs incluem entradas PHL_ERROR em /opt/phoenix/log/phoenix.log com URLs maliciosas.

Determinações e prazos de correção

Embora sem listagem na CISA KEV, a urgência é alta devido a PoCs públicas e histórico de exploits Fortinet. Fortinet exige upgrades imediatos em nós Super/Worker e bloqueio externo de TCP 7900. Monitore IOCs (ex: IPs da Baxet Group e China Mobile) via EDR. Aplique patches conforme tabela acima para eliminar RCE e escalonamento, evitando cegueira em detecção de ameaças.