Fortinet a publié des mises à jour pour corriger une faille de sécurité critique affectant FortiSIEM qui pourrait permettre à un attaquant non authentifié d’exécuter du code sur des instances vulnérables.

La vulnérabilité d’injection du système d’exploitation (OS), référencée sous le nom CVE-2025-64155 , est notée 9,4 sur 10,0 sur le système de notation CVSS.

« Une neutralisation incorrecte des éléments spéciaux utilisés dans une vulnérabilité de commande OS (« injection de commande OS ») [CWE-78] dans FortiSIEM peut permettre à un attaquant non authentifié d’exécuter du code ou des commandes non autorisés via des requêtes TCP spécialement conçues », a déclaré la société dans un bulletin publié mardi.

Fortinet a déclaré que la vulnérabilité n’affecte que les nœuds Super et Worker, et qu’elle a été corrigée dans les versions suivantes :

• FortiSIEM 6.7.0 à 6.7.10 (Migrer vers une version corrigée)
• FortiSIEM 7.0.0 à 7.0.4 (Migrer vers une version corrigée)
• FortiSIEM 7.1.0 à 7.1.8 (Mise à niveau vers la version 7.1.9 ou supérieure)
• FortiSIEM 7.2.0 à 7.2.6 (Mise à niveau vers la version 7.2.7 ou supérieure)
• FortiSIEM 7.3.0 à 7.3.4 (Mise à niveau vers la version 7.3.5 ou supérieure)
• FortiSIEM 7.4.0 (Mise à niveau vers la version 7.4.1 ou supérieure)
• FortiSIEM 7.5 (Non concerné)
• FortiSIEM Cloud (Non concerné)

Zach Hanley, chercheur en sécurité chez Horizon3.ai, à qui l’on attribue la découverte et le signalement de la faille le 14 août 2025, a déclaré qu’elle comprenait deux parties mobiles :

• Une vulnérabilité d’injection d’arguments non authentifiée permet l’écriture arbitraire de fichiers et l’exécution de code à distance en tant qu’administrateur.
• Une vulnérabilité d’élévation de privilèges par écrasement de fichier qui permet d’obtenir un accès root et de compromettre totalement l’appliance.

Plus précisément, le problème concerne la manière dont le service phMonitor de FortiSIEM – un processus backend crucial responsable de la surveillance de l’état de santé, de la distribution des tâches et de la communication entre les nœuds via le port TCP 7900 – traite les requêtes entrantes liées à la journalisation des événements de sécurité dans Elasticsearch.

Ceci déclenche à son tour un script shell avec des paramètres contrôlés par l’utilisateur, ouvrant ainsi la porte à l’injection d’arguments via curl et permettant des écritures de fichiers arbitraires sur le disque dans le contexte de l’utilisateur administrateur.

Cette écriture de fichier limitée peut être exploitée pour prendre le contrôle total du système en utilisant l’injection d’arguments curl pour écrire un shell inversé dans « /opt/charting/redishb.sh », un fichier accessible en écriture par un utilisateur administrateur et exécuté chaque minute par l’appliance au moyen d’une tâche cron exécutée avec des permissions de niveau racine.

En d’autres termes, l’écriture d’un shell inversé dans ce fichier permet une élévation de privilèges d’administrateur à root, offrant ainsi à l’attaquant un accès illimité à l’appliance FortiSIEM. L’aspect le plus important de cette attaque réside dans le fait que le service phMonitor expose plusieurs gestionnaires de commandes ne nécessitant aucune authentification. Un attaquant peut donc facilement invoquer ces fonctions en obtenant simplement un accès réseau au port 7900.

Fortinet a également déployé des correctifs pour une autre faille de sécurité critique dans FortiFone (CVE-2025-47855, score CVSS : 9,3) qui pouvait permettre à un attaquant non authentifié d’obtenir la configuration de l’appareil via une requête HTTP(S) spécialement conçue à l’adresse du portail web. Cette faille affecte les versions suivantes de la plateforme de communication d’entreprise :

• FortiFone 3.0.13 à 3.0.23 (Mise à niveau vers la version 3.0.24 ou supérieure)
• FortiFone 7.0.0 à 7.0.1 (Mise à niveau vers la version 7.0.2 ou supérieure)
• FortiFone 7.2 (Non concerné)

Il est conseillé aux utilisateurs de mettre à jour leurs logiciels vers les dernières versions pour une protection optimale. En guise de solution de contournement pour la vulnérabilité CVE-2025-64155, Fortinet recommande à ses clients de limiter l’accès au port phMonitor (7900).

Mise à jour#

Horizon3.ai a également mis à disposition une preuve de concept (PoC) d’exploitation démontrant CVE-2025-64155, montrant comment elle pourrait être exploitée par un attaquant distant non authentifié pour exécuter du code arbitraire et prendre le contrôle d’un appareil.