【安全资讯】黑客正积极利用Fortinet FortiSIEM关键漏洞发起攻击

概要：

网络安全领域再起波澜，Fortinet旗下安全信息和事件管理（SIEM）产品FortiSIEM曝出一个关键漏洞（CVE-2025-64155），并已被黑客在真实攻击中利用。该漏洞允许未经身份验证的攻击者远程执行任意命令，最终获得系统最高权限，对使用该产品的企业，尤其是依赖其进行安全监控的机构构成了严重威胁。

主要内容：

该漏洞由安全公司Horizon3.ai的研究员Zach Hanley发现并报告，其本质是操作系统命令注入（CWE-78）漏洞。攻击者可通过精心构造的TCP请求，在未经验证的情况下远程调用phMonitor服务中的数十个命令处理器，从而实现任意代码执行。

漏洞的技术根源在于phMonitor服务暴露了过多可远程调用的命令接口，且缺乏身份验证。Horizon3.ai发布的漏洞利用概念验证代码展示了如何通过参数注入，覆写/opt/charting/redishb.sh文件，最终以root权限执行恶意代码。

受影响的版本包括FortiSIEM 6.7至7.5。Fortinet已发布安全更新，并建议无法立即更新的管理员限制对phMonitor端口（7900）的访问。威胁情报公司Defused已确认，在野攻击正在利用此漏洞。管理员可通过检查/opt/phoenix/log/phoenix.logs日志文件中的PHL_ERROR条目来寻找入侵迹象。此次事件再次凸显了及时修补安全产品自身漏洞的极端重要性。