Kode Eksploit Publik Dirilis untuk Celah Kritis FortiSIEM

Detail teknis dan kode eksploit publik kini beredar untuk sebuah kerentanan kritis yang memengaruhi solusi Security Information and Event Management (SIEM) milik Fortinet, yakni FortiSIEM. Celah ini memungkinkan penyerang jarak jauh tanpa autentikasi mengeksekusi perintah atau kode berbahaya pada sistem yang terdampak.

Kerentanan tersebut dilacak sebagai CVE-2025-25256 dan merupakan kombinasi dari dua kelemahan yang memungkinkan penulisan file arbitrer dengan hak admin serta eskalasi hak istimewa hingga level root.

Kronologi dan Akar Masalah

Isu keamanan ini pertama kali dilaporkan oleh peneliti dari Horizon3.ai pada pertengahan Agustus 2025. Fortinet mulai menambal celah tersebut pada awal November 2025 di empat dari lima cabang pengembangan FortiSIEM, dan pada Januari 2026 mengonfirmasi bahwa seluruh versi yang masih didukung telah menerima perbaikan.

Dalam advisori keamanannya, Fortinet menjelaskan bahwa CVE-2025-25256 disebabkan oleh penanganan input yang tidak semestinya pada perintah sistem operasi, sehingga memungkinkan penyerang menjalankan perintah tidak sah melalui permintaan TCP yang dirancang khusus.

Analisis Horizon3.ai mengungkap bahwa akar masalahnya adalah terbukanya puluhan command handler pada layanan phMonitor, yang dapat diakses tanpa autentikasi. Layanan ini disebut telah menjadi titik masuk bagi berbagai kerentanan FortiSIEM di masa lalu, termasuk CVE lain pada tahun-tahun sebelumnya, dan bahkan sempat menarik perhatian kelompok ransomware ternama.

Eksploit Dipublikasikan

Setelah Fortinet merilis patch dan advisori resmi, Horizon3.ai memutuskan untuk mempublikasikan eksploit demonstratif beserta penjelasan teknis mendalam. Langkah ini diambil karena perbaikan telah tersedia, sekaligus untuk membantu tim keamanan memahami risiko dan mendeteksi potensi kompromi.

Versi Terdampak dan Perbaikan

Celah ini berdampak pada FortiSIEM versi 6.7 hingga 7.5. Fortinet telah menyediakan perbaikan pada rilis berikut:

• FortiSIEM 7.4.1 atau lebih baru
• FortiSIEM 7.3.5 atau lebih baru
• FortiSIEM 7.2.7 atau lebih baru
• FortiSIEM 7.1.9 atau lebih baru

Sementara itu, FortiSIEM 7.0 dan 6.7.0 juga terdampak, namun tidak lagi didukung, sehingga tidak akan menerima patch untuk CVE-2025-25256. Fortinet menegaskan bahwa FortiSIEM 7.5 dan FortiSIEM Cloud tidak terdampak oleh kerentanan ini.

Mitigasi Sementara dan Deteksi

Bagi organisasi yang belum dapat segera menerapkan pembaruan, Fortinet menyarankan membatasi akses ke port phMonitor (7900) sebagai langkah mitigasi sementara.

Horizon3.ai juga membagikan indikator kompromi (IoC) untuk membantu deteksi. Administrator disarankan memeriksa log phMonitor pada berkas /opt/phoenix/log/phoenix.logs. Entri dengan label ‘PHL_ERROR’ dapat memuat URL payload serta lokasi file yang ditulis—indikasi kuat adanya eksploitasi.

Imbauan untuk Administrator

Dengan beredarnya kode eksploit publik, risiko eksploitasi meningkat signifikan. Administrator FortiSIEM disarankan untuk segera memperbarui ke versi aman, melakukan pembatasan akses jaringan bila diperlukan, serta memeriksa log untuk memastikan tidak ada aktivitas mencurigakan.