Souhrn
Dne 13. ledna 2026 společnost Fortinet zveřejnila a opravila zranitelnost CVE-2025-64155 s hodnocením CVSS 9.8 v systému FortiSIEM, který slouží k shromažďování a analýze bezpečnostních událostí v sítích firem. Tato chyba umožňuje neautentizované provedení libovolného kódu na dálku (RCE) s root právy a byla aktivně exploitována ihned po vydání patchy. Greenbone, firma specializující se na nástroje pro detekci zranitelností, poskytuje pro své zákazníky detekci této i tří dalších fortinetovských chyb z téhož vydání.
Klíčové body
- CVE-2025-64155 je injekce příkazů operačního systému (CWE-78) umožňující root RCE bez autentizace na zařízeních FortiSIEM.
- Zranitelnost byla zodpovědně nahlášena Horizon3.ai v srpnu 2025, plný technický popis a proof-of-concept (PoC) exploit jsou veřejné.
- Exploitace potvrzena v honeypotech společností Defused, ale žádné konkrétní oběti neidentifikovány; chyba zatím není v CISA KEV katalogu.
- Greenbone nabízí detekci přes vzdálenou kontrolu bannerů a bezplatnou dvoutýdenní zkoušku OpenVAS BASIC pro vyhodnocení enterprise feedu.
- Fortinet má 23 záznamů v CISA KEV, z toho 13 spojených s ransomware útoky.
Podrobnosti
FortiSIEM je součástí portfolia Fortinetu, který se zaměřuje na bezpečnostní řešení pro sítě, včetně SIEM systémů pro centrální sběr logů, detekci anomálií a reakci na incidenty. Zranitelnost CVE-2025-64155 spadá do kategorie injekce příkazů operačního systému, kde útočník může bez přihlašovacích údajů odeslat škodlivý vstup, který spustí libovolné příkazy s maximálními právy root. Tato kombinace – neautentizace plus root přístup – umožňuje okamžité ovládnutí zařízení, instalaci rootkitů, manipulaci s logy, obcházení detekce na koncových bodech (EDR) nebo dokonce zásahy do firmwaru a secure boot.
Rootkity, které lze takto nasadit, jsou pokročilé nástroje skrývající přítomnost útočníka, například skrze maskování procesů, šifrování komunikace nebo falšování telemetrie. Existující rootkity pro Linuxové jádra (jako FortiSIEM pravděpodobně používá) dokážou obcházet EDR systémy od firem jako CrowdStrike nebo Microsoft Defender, což zvyšuje riziko dlouhodobé přítomnosti v síti. Zranitelnost odhalila firma Horizon3.ai, specializující se na testování penetrace a simulace útoků, která ji nahlásila v srpnu 2025. Fortinet vydal patch spolu s pěti dalšími chybami, ale aktivní exploitace byla hlášena ihned po 13. lednu 2026 v honeypotech Defused, což je platforma pro nasazení pastí na útočníky.
Greenbone reaguje rychle: jejich GreenboneOS, založené na OpenVAS (open-source nástroji pro skenování zranitelností), obsahuje vzdálenou kontrolu bannerů detekující CVE-2025-64155 i tři další fortinetovské chyby z patch cycle. OpenVAS BASIC je vstupní virtuální spotřebič s enterprise feedem pro aktualizované signatury, vhodný pro malé sítě; plná řada zahrnuje výkonné fyzické a virtuální zařízení pro firmy, školy a veřejný sektor. Zkušební verze umožňuje ověřit detekci bez závazků. PoC exploit je veřejný, což urychluje adopci útočníky, i když CISA KEV katalog zatím chybu nezařadil – na rozdíl od 23 předchozích Fortinet CVE, z nichž mnohé vedly k ransomware.
Proč je to důležité
Tato zranitelnost ohrožuje tisíce nasazení FortiSIEM v korporátních sítích, kde slouží jako klíčový prvek bezpečnostního monitoringu. Úspěšný root RCE umožňuje laterální pohyb v síti, exfiltraci dat nebo nasazení malware, což může vést k masivním incidentům podobným těm s předchozími Fortinet chybami (např. ransomware kampaně). Firmy musí ihned aplikovat patch a provést skenování sítě, protože veřejný PoC zvyšuje riziko automatizovaných útoků. V širším kontextu to podtrhuje zranitelnost proprietárních SIEM systémů vůči command injection a nutnost pravidelného vulnerability managementu. Greenbone řešení demonstruje hodnotu nezávislých skenerů, které rychle pokrývají nové hrozby, a zdůrazňuje trend, kdy Fortinet CVEs tvoří významnou část exploitovaných zero-day v divočině.
Zdroj: 📰 Greenbone.net
