Fortinet FortiSIEM tizimidagi xavfli zaiflik – CVE-2025-25256
2025-yil avgust oyida kiberxavfsizlik tadqiqotchilari tomonidan Fortinet FortiSIEM tizimida aniqlangan CVE-2025-25256 zaifligi haqida batafsil texnik tahlil e’lon qilindi. Ushbu zaiflik oldindan autentifikatsiyasiz (pre-authentication) buyrug‘ni kiritish (command injection) imkoniyatini berib, juda xavfli hisoblanadi. Zaiflikning CVSS xavf darajasi 9.8 ball etib baholangan va u allaqachon ekspluatatsiya qilinmoqda.
Zaiflikning mohiyati
Mazkur zaiflik CWE-78 (OS Command Injection) toifasiga mansub bo‘lib, tizimdagi ba’zi parametrlar noto‘g‘ri filtrlash natijasida, xakerlar tomonidan o‘z buyrug‘ini kiritish va uni serverda bajarilishiga imkon yaratadi.
Xususan, zaiflik phMonitor xizmatida kuzatiladi. Bu xizmat:
- TCP 7900-portida ishlaydi;
- FortiSIEM jarayonlarining holatini kuzatish va vazifalarni taqsimlashga mas’ul;
- C++ tilida yozilgan va maxsus RPC protokoli orqali TLS shifrlashdan foydalanadi.
Tadqiqotchilarning aniqlashicha, zaiflik handleStorageArchiveRequest funksiyasidagi noto‘g‘ri sanitizatsiya jarayonidan kelib chiqqan. Avval foydalanilgan ShellCmd::addParaSafe funksiyasi faqat qo‘shtirnoqlarni qochirish orqali himoya qilgan bo‘lsa-da, bu buyrug‘ni injeksiya qilishga qarshi samarali chorani ta’minlamagan.
Yangi yamada esa ushbu funksiya o‘rniga quyidagilar joriy etilgan:
ShellCmd::addHostnameOrIpParamShellCmd::addDiskPathParam
Ekspluatatsiya jarayoni
Xakerlar ushbu zaiflikdan foydalanishda XML-payload yuborish orqali tizimni aldashlari mumkin. Masalan:
<archive_nfs_archive_dir>touch${IFS}/tmp/boom</archive_nfs_archive_dir>
Bunday holatda tizim /tmp katalogida yangi fayl yaratadi. Buyruq bajarilishining umumiy strukturasi quyidagicha:
/opt/phoenix/deployment/jumpbox/datastore.py nfs test [server_ip] [directory_path] archiveZaiflik faqatgina Supervisor yoki Worker rejimida ishlayotgan tizimlarda, hamda saqlash turi (storage type) NFS sifatida belgilangan hollarda yuzaga chiqadi.
Ta’sir ko‘lami
Zaiflik quyidagi FortiSIEM versiyalariga ta’sir qiladi:
| Versiya | Ta’sirlangan diapazon | Tavsiya etilgan choralar |
|---|---|---|
| 5.4 | Barcha versiyalar | Qo‘llab-quvvatlanadigan yangilanishga o‘tish |
| 6.1 – 6.6 | Barcha versiyalar | Qo‘llab-quvvatlanadigan yangilanishga o‘tish |
| 6.7 | 6.7.0 – 6.7.9 | 6.7.10 yoki undan yuqoriga yangilash |
| 7.0 | 7.0.0 – 7.0.3 | 7.0.4 yoki undan yuqoriga yangilash |
| 7.1 | 7.1.0 – 7.1.7 | 7.1.8 yoki undan yuqoriga yangilash |
| 7.2 | 7.2.0 – 7.2.5 | 7.2.6 yoki undan yuqoriga yangilash |
| 7.3 | 7.3.0 – 7.3.1 | 7.3.2 yoki undan yuqoriga yangilash |
| 7.4 | Ta’sirlanmagan | Hech qanday harakat talab qilinmaydi |
Xavfsizlik bo‘yicha tavsiyalar
- Darhol yangilash – Tizimlarni imkon qadar tezroq so‘nggi barqaror versiyalarga ko‘tarish zarur.
- Portni cheklash – Yangilash imkoni bo‘lmagan hollarda TCP 7900-portiga faqat ishonchli ichki xostlardan ulanishga ruxsat berish.
- Monitoring – Zaiflik ekspluatatsiya qilinganida aniq log izlari qoldirmaydi. Shu sababli, tizimlarda noan’anaviy faoliyatni kuzatib borish lozim.
- Legacy tizimlar – Endi qo‘llab-quvvatlanmaydigan eski versiyalardan foydalanayotgan tashkilotlar imkon qadar tezroq yangi, qo‘llab-quvvatlanadigan versiyalarga o‘tishlari kerak.
CVE-2025-25256 zaifligi juda jiddiy tahdid bo‘lib, korporativ xavfsizlik markazlariga (SOC) katta xavf tug‘diradi. Bu hodisa yana bir bor shuni ko‘rsatadiki, kiberjinoyatchilar yangi zaifliklardan foydalanish imkoniyatini juda tez topib, ulardan amalda foydalanishga o‘tmoqda.
Shu bois, proaktiv xavfsizlik yondashuvi, tezkor patch boshqaruvi va qat’iy tarmoq nazorati tashkilotlarning eng muhim himoya choralari bo‘lib qolmoqda.
