Fortinet, FortiSIEM ürününde kimlik doğrulaması olmadan işletim sistemi komutu enjeksiyonuna izin veren kritik bir güvenlik açığını giderdi. CVE-2025-64155 koduyla takip edilen bu zafiyet, CVSS 9.4 puanı ile yüksek risk taşıyor ve özellikle FortiSIEM’in Super ve Worker düğümlerini etkiliyor. Açık, kimlik doğrulaması yapılmamış saldırganların TCP port 7900 üzerinden özel hazırlanmış isteklerle yetkisiz komut çalıştırmasına olanak tanıyor.
Saldırı Zinciri ve Teknik Detaylar
Bu zafiyet, FortiSIEM’in phMonitor servisiyle ilgilidir; bu servis sağlık izleme, görev dağıtımı ve düğümler arası iletişimden sorumludur. Açığın temelinde, kullanıcı kontrollü parametrelerin uygun şekilde etkisizleştirilmemesi sonucu komut enjeksiyonu yer alır. Saldırgan, curl komutuna argüman enjeksiyonu yaparak admin yetkileriyle rastgele dosya yazabilir. Özellikle “/opt/charting/redishb.sh” dosyasına ters kabuk (reverse shell) yazılması mümkündür. Bu dosya, root yetkileriyle çalışan bir cron işi tarafından her dakika çalıştırılır; böylece ayrıcalık yükseltme gerçekleşir ve saldırgan cihazda tam kontrol elde eder.
PhMonitor servisinin kimlik doğrulaması gerektirmeyen birçok komut işleyicisi açması, saldırganın sadece 7900 portuna erişimle bu işlevleri kolayca kullanabilmesini sağlıyor. Bu durum, ağ segmentasyonu ve erişim kontrolü olmayan ortamlarda büyük risk oluşturuyor.
FortiFone Ürünlerinde Ek Kritik Açık
Fortinet ayrıca FortiFone ürünlerinde CVE-2025-47855 kodlu, kimlik doğrulaması olmadan özel hazırlanmış HTTP(S) istekleriyle cihaz yapılandırmasının ele geçirilmesine izin veren başka bir kritik açığı da kapattı. Bu zafiyet, FortiFone 3.0.13 ile 3.0.23 ve 7.0.0 ile 7.0.1 sürümlerini etkiliyor. FortiFone 7.2 sürümü ise etkilenmiyor.
Hangi Sistemler Risk Altında?
FortiSIEM’in 6.7.0’dan 7.4.0’a kadar olan belirli sürümleri, özellikle Super ve Worker düğümleri bu açığın hedefi. FortiFone ise belirli eski sürümlerle sınırlı kalıyor. FortiSIEM 7.5 ve FortiSIEM Cloud sürümleri etkilenmiyor. Bu durum, kurumsal ağlarda Fortinet ürünlerini kullanan güvenlik operasyonları merkezleri (SOC), ağ yöneticileri ve kritik altyapı operatörleri için önemli bir uyarı niteliğinde.
Siber Güvenlik Ekipleri İçin Öneriler
- FortiSIEM ve FortiFone ürünlerini en güncel yamalara yükseltin.
- PhMonitor servisi için 7900 TCP portu erişimini sadece yetkili ağ segmentlerine kısıtlayın.
- Ağ segmentasyonu ve erişim kontrol listeleri (ACL) ile yönetici servislerine dış erişimi engelleyin.
- SIEM çözümlerinde phMonitor ve ilgili servislerin loglarını yakından takip edin.
- EDR ve IAM sistemleriyle cihazlarda olağan dışı komut çalıştırma ve dosya değişikliklerini izleyin.
- Olay müdahale (incident response) planlarınızı bu tür ayrıcalık yükseltme ve uzaktan kod çalıştırma saldırılarına göre güncelleyin.
- Fortinet cihazlarında düzenli yapılandırma denetimleri ve güvenlik taramaları yapın.
- Phishing ve sosyal mühendislik saldırılarına karşı kullanıcı eğitimlerini artırarak saldırı yüzeyini azaltın.
Teknik Özet
- Zafiyetler: CVE-2025-64155 (FortiSIEM OS komutu enjeksiyonu), CVE-2025-47855 (FortiFone yapılandırma erişimi)
- Hedef Sistemler: FortiSIEM 6.7.0-7.4.0 arası sürümler, FortiFone 3.0.13-3.0.23 ve 7.0.0-7.0.1 sürümleri
- Saldırı Zinciri: 1) Kimlik doğrulaması olmayan TCP istekleri ile komut enjeksiyonu, 2) Rastgele dosya yazma ile ters kabuk oluşturma, 3) Cron işi ile root ayrıcalığı elde etme
- Önerilen Savunma: Güncel yamaların uygulanması, ağ segmentasyonu, MFA ve EDR ile anormal davranışların tespiti
- İlgili Proses: phMonitor servisi (TCP 7900 portu), Elasticsearch loglama
Bu kritik açıklar, Fortinet ürünlerini kullanan kurumların ağ güvenliği mimarisini gözden geçirmesi ve özellikle kimlik doğrulaması gerektirmeyen servislerin erişim kontrollerini sıkılaştırması gerektiğini gösteriyor. Ayrıca, olay müdahale süreçlerinde bu tür ayrıcalık yükseltme ve uzaktan kod çalıştırma senaryolarına karşı hazırlıklı olmak önem taşıyor.