Một lỗ hổng CVE nghiêm trọng, định danh CVE-2025-64155, trong Fortinet FortiSIEM đang bị khai thác tích cực. Xác nhận này được đưa ra bởi Defused thông qua việc triển khai các honeypot của họ, cho thấy các cuộc tấn công có mục tiêu đang diễn ra.

Lỗ hổng này là một lỗi tiêm lệnh hệ điều hành (OS command injection) cho phép thực thi mã từ xa không cần xác thực (unauthenticated remote code execution). Điều này đặt ra rủi ro nghiêm trọng cho các hệ thống giám sát an ninh mạng cấp doanh nghiệp.

Phân tích CVE-2025-64155 và Cơ chế Khai thác

Chi tiết Lỗ hổng và Nguyên nhân Gốc

CVE-2025-64155 xuất phát từ việc xử lý không đúng các phần tử đặc biệt trong lệnh hệ điều hành. Lỗi này tồn tại trong dịch vụ phMonitor của FortiSIEM, một thành phần chịu trách nhiệm trao đổi dữ liệu nội bộ giữa các nút Super và Worker.

Việc không vô hiệu hóa đúng cách các ký tự đặc biệt cho phép kẻ tấn công chèn các lệnh tùy ý vào ngữ cảnh thực thi của hệ thống, dẫn đến việc kiểm soát ngoài ý muốn.

Quy trình Tấn công và Chuỗi Khai thác RCE

Kẻ tấn công sẽ gửi các yêu cầu TCP được tạo thủ công đến cổng 7900. Các yêu cầu này nhắm mục tiêu vào các điểm cuối cấu hình lưu trữ với kiểu `elastic` được thiết lập.

Thông qua các tải trọng XML, kẻ tấn công chèn các đối số vào một lệnh `curl` thực thi trên hệ thống. Mục tiêu ban đầu là thực hiện ghi tệp tùy ý với quyền của người dùng admin.

Ví dụ về cấu trúc XML payloads mô phỏng cấu hình lưu trữ đàn hồi (elastic storage config) có thể bao gồm các tên cluster như “test-cluster”, số lượng bản sao (replica counts), và các bài kiểm tra dịch vụ elasticsearch. Việc chèn lệnh thường xảy ra thông qua tham số số shard hoặc URI.

Sau khi đạt được khả năng ghi tệp tùy ý dưới quyền admin, một chuỗi leo thang đặc quyền tiếp theo được thực hiện. Bằng cách ghi đè lên các tệp nhị phân được thực thi, kẻ tấn công có thể giành quyền truy cập root vào hệ thống bị xâm nhập.

Đáng chú ý, mã Proof-of-Concept (PoC) chứng minh chuỗi remote code execution đầy đủ đã được công khai trên GitHub. Tổ chức **Horizon3.ai** đã cung cấp chi tiết khai thác này tại GitHub: CVE-2025-64155 PoC.

Thông báo từ Fortinet cũng xác nhận rằng lỗ hổng CVE-2025-64155 này không ảnh hưởng đến các nút Cloud hoặc Collector của FortiSIEM, chỉ giới hạn ở các nút Super và Worker.

Phát hiện Xâm nhập và Giám sát Mối đe dọa

Chỉ số IOCs và Dấu hiệu Khai thác

Defused đã phát hiện các cuộc tấn công có mục tiêu nhắm vào các honeypot của họ ngay sau khi bản vá bảo mật được phát hành. Các tải trọng (payloads) được sử dụng trong các cuộc tấn công này thường nhúng cơ sở hạ tầng giai đoạn thứ hai vào các chuỗi tiêm lệnh.

Các nỗ lực khai thác có thể được ghi lại trong nhật ký của hệ thống FortiSIEM. Cụ thể, các mục nhật ký PHL_ERROR trong tệp `/opt/phoenix/log/phoenix.log` thường hiển thị các URL của kẻ tấn công và đường dẫn tệp bị ảnh hưởng.

Các dấu hiệu cần chú ý trong nhật ký bao gồm các chuỗi cố gắng chèn lệnh vào các tham số liên quan đến cấu hình lưu trữ hoặc dịch vụ `curl`. Việc theo dõi chặt chẽ tệp nhật ký này là rất quan trọng để phát hiện sớm hoạt động bất thường.

Tác động và Rủi ro Tiềm tàng

Bản chất không cần xác thực của lỗ hổng CVE-2025-64155 và việc các hệ thống SIEM thường xuyên được tiếp xúc trực tiếp (hoặc gián tiếp) với mạng, làm tăng đáng kể rủi ro. Kẻ tấn công có thể tận dụng lỗ hổng này để:

• Thao túng nhật ký hệ thống, che giấu các hoạt động độc hại.
• Đánh cắp dữ liệu nhạy cảm từ hệ thống FortiSIEM.
• Thực hiện di chuyển ngang (lateral movement) trong mạng nội bộ.
• Tắt hoặc làm hỏng chức năng giám sát bảo mật của tổ chức.

Nếu hệ thống FortiSIEM, vốn được thiết kế để phát hiện mối đe dọa, bị xâm nhập, nó có thể làm suy yếu nghiêm trọng khả năng của các nhà phòng thủ trong việc nhìn thấy và phản ứng với các vi phạm rộng lớn hơn trong mạng lưới.

Biện pháp Khắc phục và Khuyến nghị Bảo mật

Cập nhật Bản vá và Biện pháp Tức thì

Các tổ chức đang sử dụng FortiSIEM phải nâng cấp ngay lập tức các nút Super và Worker theo khuyến nghị của Fortinet. Việc áp dụng bản vá bảo mật mới nhất là bước quan trọng nhất để chống lại lỗ hổng CVE-2025-64155 này.

Là một biện pháp tạm thời (workaround), các quản trị viên nên chặn quyền truy cập bên ngoài vào cổng TCP 7900 trên các nút FortiSIEM bị ảnh hưởng. Điều này sẽ giúp hạn chế khả năng kẻ tấn công khai thác lỗ hổng từ xa.

Giám sát và Phát hiện Mối đe dọa Nâng cao

Ngoài việc vá lỗi, các tổ chức cần tăng cường giám sát. Theo dõi nhật ký của dịch vụ phMonitor để tìm kiếm bất kỳ dấu hiệu bất thường nào. Sử dụng các công cụ EDR (Endpoint Detection and Response) để quét và phát hiện các chỉ số thỏa hiệp (IOCs) liên quan.

Fortinet nhấn mạnh sự cần thiết phải ưu tiên giải quyết lỗ hổng CVE-2025-64155 này. Việc có sẵn mã PoC công khai và lịch sử các lỗ hổng Fortinet thường xuyên bị nhắm mục tiêu khiến việc này trở nên cấp bách. Các tổ chức cần hành động nhanh chóng để bảo vệ hệ thống của mình khỏi các cuộc tấn công đang diễn ra.

Mặc dù lỗ hổng này chưa được liệt kê trong danh sách CISA KEV (Known Exploited Vulnerabilities) tại thời điểm hiện tại, lịch sử đã cho thấy có tới 23 lỗ hổng Fortinet khác đang bị khai thác tích cực.