FortiSIEM Command Injection: Mối nguy hiểm lớn cho hệ thống bảo mật

[WhiteHat Team]

Fortinet FortiSIEM, nền tảng quản lý sự kiện và thông tin bảo mật (SIEM) phổ biến trong các tổ chức lớn, vừa được phát hiện có một lỗ hổng nghiêm trọng cho phép kẻ tấn công thực thi lệnh tùy ý mà không cần xác thực. Lỗ hổng có mã định danh CVE-2025-25256 và thuộc loại CWE-78 (OS Command Injection), đã xuất hiện trong các chiến dịch tấn công thực tế và PoC đã lưu hành rộng rãi. Sự tồn tại của lỗ hổng này đặt ra mối nguy cấp bách cho các trung tâm điều hành an ninh, buộc các tổ chức phải hành động ngay lập tức.

​

CVE-2025-25256 và cơ chế khai thác​

Nguyên nhân của lỗ hổng bắt nguồn từ việc xử lý đầu vào không an toàn trong FortiSIEM. Cụ thể, dịch vụ phMonitor – thành phần quan trọng giám sát trạng thái các tiến trình và phân phối nhiệm vụ nội bộ – chạy trên TCP port 7900 và sử dụng một giao thức RPC tùy chỉnh được bọc trong TLS. Kẻ tấn công có thể lợi dụng điểm này bằng cách gửi yêu cầu CLI đặc biệt hoặc payload XML độc hại, cho phép thực thi lệnh hệ thống tùy ý mà không cần xác thực, biến FortiSIEM từ công cụ bảo vệ thành backdoor nguy hiểm.

Theo phân tích của watchTowr Labs, lỗ hổng xuất phát từ hàm handleStorageArchiveRequest. Fortinet trước đây sử dụng ShellCmd::addParaSafe để lọc đầu vào, nhưng hàm này chỉ thoát ký tự ngoặc kép, không đủ mạnh để ngăn chặn command injection. Trong phiên bản vá, Fortinet đã thay thế bằng các hàm ShellCmd::addHostnameOrIpParam và ShellCmd::addDiskPathParam nhằm kiểm soát đầu vào hiệu quả hơn.

Cách thức tấn công​

Khai thác lỗ hổng này không yêu cầu tương tác của người dùng và có thể thực hiện qua mạng từ xa. Một payload mẫu có thể là:

<archive_nfs_archive_dir>touch${IFS}/tmp/boom</archive_nfs_archive_dir>

Payload này sẽ tạo file /tmp/boom trên hệ thống mục tiêu, cho thấy khả năng thực thi lệnh tuỳ ý. Để khai thác thành công, hệ thống phải chạy ở Supervisor hoặc Worker mode, với storage type = “nfs”. Cấu trúc lệnh thực thi trên hệ thống theo mẫu:

text/opt/phoenix/deployment/jumpbox/datastore.py nfs test [server_ip] [directory_path] archive

Điều này chứng minh rằng kẻ tấn công có thể thao túng các tiến trình hệ thống một cách trực tiếp, gây ra rủi ro nghiêm trọng đối với toàn bộ môi trường FortiSIEM.

Phạm vi rủi ro và biện pháp khắc phục​

Lỗ hổng ảnh hưởng đến hầu hết các phiên bản FortiSIEM hiện hành, bao gồm cả các hệ thống legacy:

• FortiSIEM 5.4 – 7.3.1: Bị ảnh hưởng hoàn toàn, cần nâng cấp hoặc di cư sang phiên bản được hỗ trợ
• FortiSIEM 7.4: Không bị ảnh hưởng

Điểm nguy hiểm chính là khai thác không để lại IoCs, PoC đã sẵn sàng sử dụng và khả năng bypass hoàn toàn cơ chế xác thực, khiến việc phát hiện và phản ứng sự cố trở nên khó khăn, đồng thời mở cửa cho các chiến dịch tấn công phối hợp, ví dụ như tấn công brute-force vào Fortinet SSL VPN gần đây.

Để hạn chế rủi ro, các tổ chức cần:

• Cập nhật bản vá: FortiSIEM 7.3 → ≥ 7.3.2, 7.2 → ≥ 7.2.6, các phiên bản khác xem chi tiết trong bảng khuyến nghị
• Nếu chưa thể cập nhật bản vá, thực hiện các biện pháp tạm thời:
  • Giới hạn truy cập TCP port 7900 chỉ với các host nội bộ tin cậy.
  • Giám sát các payload bất thường liên quan NFS để phát hiện khai thác.

Các phiên bản FortiSIEM đã được vá​

Nhận định chuyên gia WhiteHat​

Theo các chuyên gia WhiteHat, CVE-2025-25256 là lỗ hổng cực kỳ nghiêm trọng với CVSS 3.1 đạt 9.8/10. Lỗ hổng này cho thấy ngay cả các công cụ bảo mật doanh nghiệp cũng có thể trở thành cửa hậu nguy hiểm nếu tồn tại sai sót kiến trúc.

Sự kết hợp giữa pre-authentication command injection, PoC đã sẵn sàng khai thác trong thực tế, và khai thác khó phát hiện IoCs tạo ra môi trường tấn công tối ưu. Đội ngũ vận hành an ninh và quản trị hệ thống cần ưu tiên patching ngay lập tức, giám sát liên tục và triển khai kiểm soát truy cập nghiêm ngặt để giảm thiểu rủi ro.

Trong bối cảnh tấn công mạng ngày càng tinh vi, FortiSIEM minh chứng rằng chậm trễ trong cập nhật hay quản lý lỗ hổng có thể biến công cụ bảo vệ thành điểm yếu chiến lược, đe dọa toàn bộ hệ thống bảo mật doanh nghiệp.

WhiteHat​