พบช่องโหว่ Critical บน Fortinet FortiSIEM ถูกแฮกเกอร์ใช้โจมตีจริงแล้ว

Fortinet เตือนช่องโหว่ระดับ Critical บน FortiSIEM ที่ทำให้แฮกเกอร์สามารถรันคำสั่งในระดับ root ได้ ซึ่งขณะนี้พบว่าถูกใช้โจมตีจริงแล้วหลังมีการเผยแพร่ proof-of-concept exploit code

ช่องโหว่ดังกล่าวมีรหัส CVE-2025-64155 เป็นช่องโหว่ประเภท OS Command Injection ที่ค้นพบโดยทีมวิจัยจาก Horizon3.ai ต้นตอของปัญหาเกิดจาก phMonitor service ที่เปิดให้เข้าถึง command handlers หลายสิบตัวจากภายนอกได้โดยไม่ต้องผ่านการยืนยันตัวตน ทำให้ผู้โจมตีสามารถรันคำสั่งบนระบบในระดับ root ผ่าน TCP request ที่ถูกสร้างขึ้นมาโดยเฉพาะ

ช่องโหว่นี้ส่งผลกระทบต่อ FortiSIEM version 6.7 ถึง 7.5 โดย Fortinet ได้ปล่อยแพตช์แก้ไขแล้ว ผู้ดูแลระบบควรอัปเดตไปยัง FortiSIEM 7.4.1 ขึ้นไป, 7.3.5 ขึ้นไป, 7.2.7 ขึ้นไป หรือ 7.1.9 ขึ้นไป ส่วนผู้ที่ใช้งาน version 7.0.0 ถึง 7.0.4 และ 6.7.0 ถึง 6.7.10 จำเป็นต้องย้ายไปใช้ version ที่ได้รับการแก้ไขแล้ว สำหรับผู้ที่ยังไม่สามารถอัปเดตได้ทันที Fortinet แนะนำให้จำกัดการเข้าถึง phMonitor port (7900) เป็น workaround ชั่วคราว

ทีมวิจัยจาก Defused รายงานว่าพบการโจมตีช่องโหว่นี้จริงแล้วใน honeypots เพียงสองวันหลังจาก Fortinet ปล่อยแพตช์ ซึ่ง Horizon3.ai ได้เผยแพร่ indicators of compromise เพื่อช่วยตรวจสอบว่าระบบถูกโจมตีแล้วหรือไม่ โดยผู้ดูแลระบบสามารถตรวจสอบ log ที่ /opt/phoenix/log/phoenix.logs หา PHL_ERROR entries ที่มี payload URLs ที่น่าสงสัย แนะนำให้ผู้ดูแลระบบ FortiSIEM ดำเนินการแพตช์โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-now-exploiting-critical-fortinet-fortisiem-vulnerability-in-attacks/