Peretas dilaporkan mulai mengeksploitasi celah keamanan kritis pada FortiSIEM milik Fortinet. Kerentanan ini memiliki kode eksploit proof-of-concept yang tersedia secara publik dan kini telah disalahgunakan dalam serangan nyata di alam liar.
Celah tersebut dilacak sebagai CVE-2025-64155 dan pertama kali dilaporkan oleh peneliti keamanan Zach Hanley dari Horizon3.ai. Menurut analisis teknis, kerentanan ini merupakan kombinasi dua kelemahan yang memungkinkan penulisan file secara arbitrer dengan hak administrator dan eskalasi hak akses hingga level root.
Dalam penjelasan resminya saat merilis pembaruan keamanan, Fortinet menyebutkan bahwa kerentanan OS Command Injection ini memungkinkan penyerang tanpa autentikasi untuk mengeksekusi perintah atau kode berbahaya melalui permintaan TCP yang dirancang khusus. Akar masalahnya terletak pada layanan phMonitor, yang mengekspos puluhan command handler yang dapat dipanggil dari jarak jauh tanpa proses autentikasi.
Horizon3.ai merilis uraian teknis yang menjelaskan bagaimana penyerang dapat memanfaatkan argument injection untuk menimpa berkas skrip sistem tertentu dan akhirnya mendapatkan eksekusi kode sebagai root. Ketersediaan kode eksploit publik mempercepat potensi penyalahgunaan, terutama pada lingkungan yang belum diperbarui.
Kerentanan ini berdampak pada FortiSIEM versi 6.7 hingga 7.5. Fortinet merekomendasikan peningkatan ke versi yang telah diperbaiki, yakni FortiSIEM 7.4.1 atau lebih baru, 7.3.5 atau lebih baru, 7.2.7 atau lebih baru, atau 7.1.9 atau lebih baru. Pengguna versi lama tertentu juga diminta untuk melakukan migrasi ke rilis yang telah diamankan.
Bagi administrator yang belum dapat segera menerapkan pembaruan, Fortinet menyediakan solusi sementara berupa pembatasan akses ke port phMonitor (7900). Meski bersifat sementara, langkah ini dinilai penting untuk menekan risiko eksploitasi hingga pembaruan permanen diterapkan.
Ancaman ini dikonfirmasi semakin nyata setelah perusahaan intelijen ancaman Defused melaporkan adanya eksploitasi aktif terhadap CVE-2025-64155 di lingkungan honeypot mereka. Temuan tersebut menunjukkan bahwa pelaku ancaman tidak hanya mengandalkan eksperimen, tetapi sudah menjalankan serangan yang ditargetkan.
Horizon3.ai juga membagikan indikator kompromi untuk membantu organisasi mendeteksi sistem yang telah terpapar. Administrator disarankan memeriksa log pesan phMonitor untuk mencari pola atau payload mencurigakan sebagai tanda penyalahgunaan. Hingga saat ini, Fortinet belum memperbarui buletin keamanannya untuk secara resmi menandai kerentanan ini sebagai telah dieksploitasi secara aktif.
Insiden ini menambah daftar panjang kerentanan Fortinet yang dieksploitasi dalam beberapa tahun terakhir, termasuk kasus zero-day pada produk FortiWeb dan FortiOS yang sebelumnya digunakan dalam serangan berskala besar. Kondisi ini kembali menegaskan pentingnya pembaruan cepat pada sistem keamanan, terutama platform SIEM yang memiliki visibilitas dan akses luas ke infrastruktur organisasi.