Für die kritische Schwachstelle CVE-2025-64155 in Fortinet FortiSIEM wurde ein öffentlich verfügbarer Proof of Concept veröffentlicht. Die Lücke ermöglicht über eine Argument-Injection die Remote-Code-Ausführung mit Root-Rechten und wird von Sicherheitsforschern von Horizon3.ai als seit Jahren ausnutzbar beschrieben.
Konkret erlaubt die Schwachstelle das Einschleusen manipulierter Argumente, um Dateien auf dem System zu schreiben, die anschließend durch geplante Hintergrundjobs ausgeführt werden. Der veröffentlichte Exploit zeigt, wie sich darüber beliebiger Code mit höchsten Privilegien ausführen lässt. Laut den Forschern erfolgt die Ausführung typischerweise zeitverzögert über einen Cron-Mechanismus.
Horizon3.ai weist darauf hin, dass das Überschreiben von Anwendungsdateien zu Instabilitäten des Systems führen kann. Für Tests sind auch harmlose Prüfvarianten möglich, bei denen lediglich externe Verbindungen ausgelöst werden. Die Veröffentlichung eines funktionierenden PoC erhöht das Risiko deutlich, dass ungepatchte FortiSIEM-Installationen kurzfristig Ziel aktiver Angriffe werden.
Administratoren von Fortinet FortiSIEM sollten umgehend prüfen, ob ihre Systeme von CVE-2025-64155 betroffen sind, verfügbare Sicherheitsupdates einspielen oder betroffene Dienste bis zur Absicherung isolieren.
