פורטינט מזהירה מפרצת אבטחה חמורה ב-FortiSIEM
פרצת אבטחה עם ציון CVSS של 9.8 מאפשרת לתוקפים להריץ פקודות או קוד במערכת ללא הפרעה. מתחילת החודש זוהו מאות כתובות IP חשודות שניסו לחדור למוצרי פורטינט
תמונה: Dreamstime
פורטינט פרסמה אזהרה דחופה על פרצת אבטחה קריטית ב-FortiSIEM, מערכת ניהול המידע והאירועים הארגוניים שלה, שקיבלה ציון CVSS ראשוני של 9.8. בחברה מודים שכבר קיים קוד תקיפה מעשי שמסתובב ברשת, מה שאומר שכל מי שירצה לנצל את החולשה לא יצטרך לעבוד קשה מדי.
הפרצה CVE-2025-25256 היא מסוג OS Command Injection ומאפשרת לתוקף לא מזוהה להעלות את רמת ההרשאות שלו במערכת ולהריץ פקודות או קוד כרצונו, אם כי בשלב זה לא נצפה ניצול פעיל שלה. בחברה ממליצים לעדכן לגרסה האחרונה ואם זה לא מתאפשר, לפחות לחסום גישה לפורט 7900 (phMonitor) בו ניתן לנצל את הפרצה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
התזמון לא מקרי
ההודעה של Fortinet מגיעה לאחר שחברת מודיעין האיומים GreyNoise דיווחה בתחילת החודש על קפיצה חדה בניסיונות Brute-Force נגד מוצרי פורטינט ובעיקר על מערכות ה-SSL VPN שלה. יותר מ-780 כתובות IP שונות ניסו באותם ימים לנחש סיסמאות ולחדור ל-VPN הארגוני.
לפי הנתונים של GreyNoise ב-4 מתוך 5 מקרים דומים נרשמה עלייה כזו בפעילות תקיפה שבועות ספורים לפני פרסום CVE חדש. נכון לאתמול עשרות כתובות IP חשודות עדיין מנסות לחדור למערכות של פורטינט. עם קוד התקיפה שכבר זמין לציבור ההיסטוריה מראה שזו רק שאלה של זמן עד שיגיע ניצול בפועל.
פורטינט עצמה לא פרסמה פרטים על אופן גילוי הפרצה או על מבנה קוד התקיפה אך ציינה שהוא אינו יוצר אינדיקטורים מובהקים לפריצה מה שאומר שגם אם מישהו ינצל את החולשה קשה יהיה לזהות את החדירה בזמן אמת באמצעים סטנדרטיים.
לפי קטלוג הפגיעויות המנוצלות של סוכנות הסייבר והאבטחה של תשתיות בארה"ב CISA מאז 2021 זוהו 20 פרצות במוצרי פורטינט בהן חמש מתחילת השנה. מרבית הפרצות גם נוצלו בפועל במתקפות כופרה.
