Selon Arctic Wolf, Fortinet a publié des correctifs pour une vulnérabilité critique (CVE-2025-25256) dans FortiSIEM, permettant à un attaquant non authentifié de réaliser une exécution de code à distance (RCE) via injection de commandes dans le service phMonitor. Un proof-of-concept public est disponible, renforçant l’urgence d’appliquer les mises à jour. 🚨
Sur le plan technique, la faille provient d’une neutralisation incorrecte d’éléments spéciaux dans des commandes système. Le service phMonitor, à l’écoute sur le port TCP 7900, peut être ciblé via des requêtes CLI spécialement conçues, ouvrant la voie à l’exécution de code non autorisé.
Versions affectées: 6.7.0–6.7.9, 7.0.0–7.0.3, 7.1.0–7.1.7, 7.2.0–7.2.5, 7.3.0–7.3.1. Versions corrigées recommandées: 6.7.10+, 7.0.4+, 7.1.8+, 7.2.6+, 7.3.2+. Les versions plus anciennes nécessitent une migration vers des releases corrigées.
Mesures mentionnées: mise à niveau vers les versions patchées ou, à titre temporaire, restriction de l’accès réseau au port TCP 7900 du service phMonitor. 🛡️
IOCs: non fournis. TTPs observés/mentionnés: injection de commandes, RCE non authentifiée, ciblage du service phMonitor sur TCP 7900, requêtes CLI craftées. Type d’article: vulnerabilité / patch de sécurité visant à informer sur la faille, ses impacts, les versions concernées et les correctifs/atténuations.
🔗 Source originale : https://arcticwolf.com/resources/blog/cve-2025-25256/
🖴 Archive : https://web.archive.org/web/20250814092924/https://arcticwolf.com/resources/blog/cve-2025-25256/