16.01.2026
1 хв
401
Кіберзлочинці почали активно експлуатувати критичну вразливість у системі моніторингу безпеки Fortinet FortiSIEM, яка дозволяє неавторизованим атакувальникам виконувати довільний код із root-правами. Уразливість має публічно доступний експлойт і вже фіксується в атаках у реальному середовищі.
Мова йде про вразливість CVE-2025-64155, яка поєднує одразу дві проблеми безпеки — ін’єкцію команд операційної системи та ескалацію привілеїв. За даними дослідника Зака Генлі з Horizon3.ai, помилка дозволяє зловмисникам виконувати довільні команди через спеціально сформовані TCP-запити без будь-якої автентифікації.
Корінь проблеми полягає у сервісі phMonitor, який містить десятки командних обробників, доступних віддалено. Horizon3.ai опублікувала технічний розбір та proof-of-concept експлойт, що дозволяє отримати root-доступ шляхом підміни файлу
/opt/charting/redishb.sh.
Уразливість впливає на FortiSIEM версій 6.7–7.5. Fortinet випустила оновлення безпеки та рекомендує оновитися до версій 7.4.1, 7.3.5, 7.2.7 або 7.1.9 і новіших. Для застарілих релізів 6.7.x і 7.0.x рекомендована повна міграція.
Аналітична компанія Defused повідомила, що CVE-2025-64155 уже активно експлуатується в атаках, що було підтверджено через honeypot-інфраструктуру. Дослідники також опублікували індикатори компрометації, зокрема записи PHL_ERROR у логах /opt/phoenix/log/phoenix.logs.Ситуація з FortiSIEM вкотре демонструє, як швидко критичні вразливості з публічними експлойтами переходять у фазу масової експлуатації. Для організацій, що використовують FortiSIEM, негайне оновлення або обмеження доступу до phMonitor є критично необхідним для запобігання повному компромету систем.
