CVE-2025-64155: In freier Wildbahn genutzte Sicherheitslücke in FortiSIEM für nicht authentifizierten Root-Level-RCE
Am 13. Januar 2026 hat Fortinet CVE-2025-64155 (CVSS 9.8) und fünf weitere Schwachstellen in seiner Produktlinie öffentlich bekannt gegeben und gepatcht [1][2][3][4][5]. Insbesondere CVE-2025-64155 stellt ein hohes Risiko dar; unmittelbar nach der Veröffentlichung wurde über aktive Ausnutzung berichtet. Die Schwachstelle wurde Fortinet vor fast sechs Monaten (August 2025) von Horizon3.ai verantwortungsbewusst gemeldet. Greenbone bietet eine Remote-Banner-Prüfung für CVE-2025-64155 in Ihrem Netzwerk, sowie Tests für drei weitere Fortinet-Sicherheitslücken, die im selben Patch-Zyklus veröffentlicht wurden [6][7][8].
Interessenten können OPENVAS BASIC, die virtuelle Einstiegs-Appliance von Greenbone, zwei Wochen lang kostenlos testen, um den OPENVAS ENTERPRISE FEED zu evaluieren. Unsere vollständige Produktpalette umfasst auch leistungsstarke physische und virtuelle Appliances für die Bereiche Unternehmen, Bildung und öffentlicher Sektor.
CVE-2025-64155 (CVSS 9.8) ist eine Sicherheitslücke bei der Befehlseingabe in Betriebssystemen [CWE-78], die die Remote-Code-Ausführung (RCE) mit Root-Rechten auf FortiSIEM-Endpunkten ermöglicht. Eine nicht authentifizierte beliebige RCE mit Root-Rechten ist die gefährlichste Kombination von Attributen, die eine CVE haben kann. Diese Kombination ermöglicht es fähigen Bedrohungsakteuren, aus der Ferne die vollständige Kontrolle über ein betroffenes Gerät zu übernehmen und möglicherweise Rootkit-Malware zu installieren. Bestehende Rootkits verfügen bekanntermaßen über fortschrittliche Umgehungsfunktionen, darunter die Umgehung von Endpoint Detection and Response [1][2][3], verdeckte Persistenzmechanismen, Manipulation von Protokollen, Manipulation von Firmware und Umgehung des Secure Boot [4][5][6].
Defused hat über Honeypot-Exploits berichtet, jedoch wurden keine konkreten Opfer identifiziert, und CVE-2025-64155 wurde noch nicht in die CISA-Datenbank „Known Exploited Vulnerabilities“ (KEV) aufgenommen. Fortinet-CVEs wurden jedoch 23 Mal in der CISA-KEV-Datenbank aufgeführt, davon stehen 13 im Zusammenhang mit Ransomware-Angriffen. Eine vollständige technische Beschreibung und ein Proof-of-Concept (PoC)-Exploit wurden von Horizon.3.ai veröffentlicht, dem Team, das die Schwachstelle zuerst entdeckt hat. Mehrere staatliche CERT-Behörden haben weltweit Warnungen herausgegeben [7][8][9][10][11][12][13]. Fortinet-User sollten alle aktuellen PSIRT-Hinweise lesen, um ihr Risiko zu bewerten.
Technische Beschreibung von CVE-2025-64155 in FortiSIEM
FortiSIEM-Geräte verwenden den phMonitor-Dienst für die Kommunikation und den Datenaustausch über TCP/IP. phMonitor stellt mehrere Befehlshandler auf dem TCP-Port 7900 bereit, die ohne Authentifizierung über die Funktion initEventHandler() ausgeführt werden. Die Weiterleitung der Handler wird durch die vom Client übergebenen Parameter bestimmt.
Die Ausnutzung von CVE-2025-64155 wurde durch Ausnutzen einer Argument-Injection-Schwachstelle [CWE-88] in phMonitor demonstriert, wobei das Schreiben beliebiger Dateien erreicht wurde. Ein Eindringling kann diese Schwachstelle für Root-Level-RCE nutzen, indem Nicht-Root-Dateien überschrieben werden, die von der Datei /etc/cron.d/fsm-crontab – dem Root-eigenen Cron-Scheduler von FortiSIEM – ausgeführt werden. Nicht-Root-RCE-Angriffsketten sind ebenfalls möglich, z. B. das Schreiben einer Bash-Reverse-Shell in die Datei /opt/phoenix/bin/phLicenseTool, die automatisch in regelmäßigen Abständen ausgeführt wird.
Wenn bestimmte Parameter an phMonitor übergeben werden, die die Funktion handleStorageRequest aufrufen, wird der User-kontrollierte Parameter <cluster_url> an ein Shell-Skript namens elastic_test_url.sh übergeben. Das Shell-Skript hängt den Parameter <cluster_url> an den curl-Befehl an und führt ihn aus. Da der Parameter jedoch nicht ordnungsgemäß bereinigt wird, kann curl missbraucht werden, um lokale Dateischreibvorgänge auf dem Ziel-FortiSIEM-Host auszulösen. Forschende von Horizon3.ai haben außerdem darauf hingewiesen, dass die fehlende Authentifizierung für die phMonitor-API von FortiSIEM in der Vergangenheit zu mehreren ausnutzbaren CVEs mit maximaler Schweregradbewertung beigetragen hat [1][2].
Behebung von CVE-2025-64155 in FortiSIEM-Geräten
Sicherheitsverantwortliche sollten die Update-Anweisungen befolgen, die in der offiziellen Empfehlung von Fortinet zu CVE-2025-64155 enthalten sind. Laut Fortinet betrifft die Schwachstelle nicht alle Knotentypen. Nur die Super- und Worker-Knoten sind betroffen. Wer kein Update durchführen kann, sollte laut Fortinet den Zugriff auf den phMonitor-Port 7900 zu beschränken. Die Sperrung des Zugriffs auf Port 7900 kann jedoch dazu führen, dass davon abhängige Dienste ausfallen.
Während der offizielle Hardening-Leitfaden von Fortinet empfiehlt, FortiSIEM „in einem geschützten Netzwerksegment” zu betreiben, sind sich Sicherheitsforschende bewusst, dass sensible Dienste trotz des hohen Risikos häufig dem Internet ausgesetzt sind. Selbst wenn ein FortiSIEM-Gerät nicht öffentlich zugänglich ist, könnten anfällige Instanzen für laterale Bewegungen und Persistenz innerhalb eines Zielnetzwerks genutzt werden. Diese Bedrohung besteht, wenn Eindringlinge bereits einen Zugang haben, wenn böswillige Insider vorhanden sind oder wenn Bedrohungsakteure in Zukunft unbefugten Zugriff auf das interne Netzwerk erhalten.
Die betroffenen FortiSIEM-Produkte und entsprechenden Abhilfemaßnahmen sind:
Zusammenfassung
CVE-2025-64155 (CVSS 9.8) ist eine kritische, nicht authentifizierte Sicherheitslücke in FortiSIEM, die eine Remote-Codeausführung auf Root-Ebene ermöglicht und von Fortinet am 13. Januar 2026 offengelegt und gepatcht wurde. Fast unmittelbar nach der Offenlegung wurden Honeypot-Exploits beobachtet, wodurch sich das Risiko für alle exponierten oder erreichbaren FortiSIEM-Implementierungen erhöhte. Verteidigungsteams sollten sicherstellen, dass ihre FortiSIEM-Instanzen nicht öffentlich zugänglich sind und dass Zugriffskontrollen auch in internen Netzwerksegmenten strikt durchgesetzt werden.
Eine kostenlose zweiwöchige Testversion von OPENVAS BASIC, der virtuellen Einstiegs-Appliance von Greenbone, steht Interessenten zur Verfügung, um die branchenführende Abdeckung des OPENVAS ENTERPRISE FEED zu evaluieren. Unsere vollständige Produktpalette umfasst auch leistungsstarke physische und virtuelle Appliances für mittelständische und große Unternehmen, Bildungseinrichtungen und Kundschaft aus dem öffentlichen Sektor.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.
