Fortinet FortiSIEM 命令注入漏洞（CVE-2025-25256）技术细节披露

网络安全研究机构watchTowr Labs发布了一份关于Fortinet FortiSIEM系统关键认证前命令注入漏洞（编号CVE-2025-25256）的完整技术分析报告。该漏洞CVSS评分高达9.8分，且已被发现存在野外利用，成为企业安全运营中心面临的最紧迫安全威胁之一。

CVE-2025-25256属于CWE-78类漏洞，即操作系统命令注入中特殊元素未正确过滤问题。攻击者无需用户交互，即可通过特制的命令行接口请求在受影响FortiSIEM实例上执行任意代码或命令。该漏洞专门针对运行在TCP 7900端口的phMonitor服务，该服务负责监控FortiSIEM进程健康状态及分配系统组件任务，其核心是一个使用TLS加密封装的自定义RPC协议的C++二进制程序。

技术分析与根本原因

watchTower Labs分析表明，漏洞源于phMonitor进程中handleStorageArchiveRequest函数的输入过滤机制缺陷。研究人员通过对比FortiSIEM 7.3.1与7.3.2版本的补丁差异发现，此前Fortinet依赖的ShellCmd::addParaSafe函数仅通过转义引号防止输入突破字符串边界，这种防御措施难以有效阻止命令注入攻击。

修复版本中，该函数被两个更安全的专用函数ShellCmd::addHostnameOrIpParam和ShellCmd::addDiskPathParam取代。

触发漏洞需要满足特定条件：系统需运行在Supervisor或Worker模式，且存储类型参数需设置为"nfs"而非"hdfs"。攻击者通过向phMonitor服务发送包含恶意XML负载（例如<archive_nfs_archive_dir>touch${IFS}/tmp/boom</archive_nfs_archive_dir>）即可执行系统命令。

底层执行的命令结构如下：

/opt/phoenix/deployment/jumpbox/datastore.py nfs test [server_ip] [directory_path] archive

受影响系统与缓解措施

该漏洞影响范围广泛的FortiSIEM版本，包括已停止安全更新的旧版系统：

无法立即部署补丁的组织应限制TCP 7900端口仅允许可信内部主机访问。该漏洞最危险的特征在于攻击行为不会产生明显入侵痕迹，极大增加了安全团队的检测难度。

行业响应与缓解措施

网络安全社区已迅速采取行动，watchTowr Labs在GitHub发布了检测特征生成工具。加拿大网络安全中心、CERT-EU等多家机构已发布紧急安全通告。值得注意的是，该漏洞披露恰逢Fortinet SSL VPN设备暴力破解攻击激增，暗示威胁行为体可能在进行协同侦察活动。

安全专家建议将此漏洞视为需立即处置的紧急事件。运行FortiSIEM的组织应优先升级至对应分支的最新修补版本，遗留系统必须迁移至受支持版本。临时缓解措施包括对7900端口实施严格访问控制，并加强环境监控以发现潜在攻击迹象。该漏洞的快速武器化表明，攻击者开发部署漏洞利用的速度已超越传统漏洞管理流程的响应能力，主动安全措施与快速补丁部署变得前所未有的重要。