Сторож с открытой дверью. Критическая уязвимость в FortiSIEM позволяет хакерам захватить контроль без пароля

FortiSIEM CVE-2025-64155 Horizon3 phMonitor Fortinet
Сторож с открытой дверью. Критическая уязвимость в FortiSIEM позволяет хакерам захватить контроль без пароля
FortiSIEM CVE-2025-64155 Horizon3 phMonitor Fortinet

Исследователи получили права суперпользователя через обычную команду curl.

image

Исследователи из компании Horizon3 опубликовали детальный разбор новой критической уязвимости в продукте Fortinet FortiSIEM — популярной системе управления информацией и событиями безопасности, которую используют организации по всему миру для мониторинга своей инфраструктуры.

Уязвимость, получившая идентификатор CVE-2025-64155, позволяет злоумышленнику без какой-либо авторизации удалённо выполнить произвольный код на сервере FortiSIEM и получить права суперпользователя. По сути, атакующий может полностью скомпрометировать систему, которая по иронии судьбы предназначена для защиты корпоративной сети.

Схема развёртывания FortiSIEM

История началась в августе 2025 года, когда Fortinet выпустила патч для другой уязвимости в том же продукте. Специалисты Horizon3 решили проверить, насколько качественно была проведена работа над ошибками, и обнаружили новый вектор атаки. Примечательно, что это уже третья серьёзная уязвимость в сервисе phMonitor, который отвечает за коммуникацию между компонентами FortiSIEM. Предыдущие проблемы были найдены в 2023 и 2024 годах.

Техническая суть уязвимости заключается в следующем. Сервис phMonitor обрабатывает входящие запросы и распределяет их по различным обработчикам без проверки подлинности отправителя. После предыдущих инцидентов разработчики добавили защиту от прямого внедрения команд, обернув пользовательские данные в одинарные кавычки. Однако исследователи нашли способ обойти эту защиту через механизм передачи аргументов утилите curl.

Ключевым элементом атаки стала малоизвестная опция curl под названием --next, которая позволяет объединять несколько запросов в одну команду. Используя эту особенность, атакующий может записать произвольный файл в любое место на сервере с правами пользователя admin. Исследователи воспользовались этим для перезаписи файла phLicenseTool, который выполняется системой каждые несколько секунд, и таким образом получили возможность запускать свой код.

Для повышения привилегий до уровня root специалисты изучили планировщик задач cron и обнаружили, что скрипт redishb.sh выполняется от имени root каждую минуту, но при этом доступен для записи обычному пользователю admin. Перезапись этого файла открыла путь к полному контролю над устройством.

Получение reverse shell через argument injection

Особую пикантность ситуации придаёт тот факт, что в начале 2025 года в утечке переписки группировки Black Basta, занимающейся распространением программ-вымогателей, обсуждались именно уязвимости FortiSIEM. Это говорит о том, что подобные бреши в защитном программном обеспечении представляют реальный интерес для киберпреступников.

Процесс раскрытия информации оказался непростым. Horizon3 сообщила об уязвимости в Fortinet 14 августа 2025 года. Спустя 90 дней — стандартный срок для координированного раскрытия — четыре из пяти веток продукта были исправлены, но одна всё ещё оставалась уязвимой. В итоге публикация состоялась только 13 января 2026 года, через 151 день после первоначального отчёта.

Получение root shell через crontab job

Администраторам систем FortiSIEM настоятельно рекомендуется установить последние обновления безопасности. Для обнаружения возможных атак следует проверить логи в файле phoenix.logs на наличие записей с пометкой PHL_ERROR, содержащих подозрительные URL-адреса и пути к файлам. Proof-of-concept эксплойта исследователи опубликовали на GitHub, что делает оперативное обновление ещё более критичным.