Fortinet旗下FortiSIEM驚爆CVSS 9.8分資安漏洞 多個版本受牽連

記者孫敬／編譯

全球資安大廠Fortinet近日向客戶發出警告，指出其FortiSIEM產品中存在一項高風險漏洞，可能讓未經身分驗證的駭客，遠端執行任意指令並完全控制系統。這項漏洞編號為CVE-2025-25256，CVSS評分高達9.8分，且Fortinet已證實有「實際的攻擊程式碼已在野外被發現」，顯示此漏洞已遭到駭客利用。

延伸閱讀：Zoom Windows版本驚爆CVSS 9.6高風險漏洞 一點連結、檔案就中標

駭客恐完全接管系統，Fortinet籲立即更新

這項漏洞屬於「OS命令注入（OS-command-injection）」類型，影響FortiSIEM的多個版本（7.3.0-7.3.1、7.2.0-7.2.5、7.1.0-7.1.7、7.0.0-7.0.3，以及6.7.9以前版本）。駭客可藉由精心設計的CLI請求，在未經身分驗證的情況下，在作業系統上執行任意指令，進而完全接管整個系統。

Fortinet強烈建議所有受影響的客戶立即升級至已修復的版本。同時，原廠也提供了一項暫時性的應急措施，限制對phMonitor連接埠（7900）的存取，以降低被攻擊的風險。

先暴力破解、再轉變目標？駭客行動模式受關注

在Fortinet發布這項漏洞警告之前，資安情報公司GreyNoise曾觀察到一波針對Fortinet SSL VPN的「暴力破解（Brute-Force）」攻擊流量激增，並創下數月來單日最高紀錄。雖然Fortinet在週二發布漏洞公告後，針對VPN產品的暴力破解再度激增，但未達8月3日的高峰。

GreyNoise分析指出，在兩週內，駭客攻擊呈現「兩種截然不同的模式」。第一波攻擊是長期、穩定的流量，第二波攻擊則是在8月5日突然且集中的爆發。資安分析師在深入調查後發現，駭客的行為模式有所轉變：

• 8月3日：攻擊主要針對FortiOS。
• 8月5日：攻擊目標轉向FortiManager，這顯示駭客可能使用了同樣的工具或基礎設施，但已將攻擊焦點轉移到Fortinet的其他服務上。

儘管GreyNoise無法證實這波攻擊與FortiSIEM的新漏洞有直接關聯，但專家強調，歷史研究顯示這類惡意掃描或暴力破解攻擊的激增，有時會在不久後伴隨著相關產品的漏洞出現。因此，兩事件在時間上的緊密性仍值得高度警惕。

資料來源：The Register