https://www.dailysecu.com/news/articleView.html?idxno=204350
포티넷 FortiSIEM 보안취약점…인증 없이 원격 코드 실행 가능, 패치 적용해야 안전 - 데일리시큐
포티넷(Fortinet)의 보안 정보 및 이벤트 관리(SIEM) 솔루션 Fortinet FortiSIEM에서 인증 없이 원격 명령 또는 코드 실행이 가능한 치명적
www.dailysecu.com
포티넷 (Fortinet)의 FortiSIEM에서 인증 없이 원격 명령, 코드 실행이 가능한 치명적 취약점 확인. CVE-2025-25256으로 원격 공격자가 인증절차 없이 관리자 권한으로 임의 파일을 작성한 뒤, 최종적으로 루트 권한까지 상승할 수 있는 구조. 공격 성공 시 FortiSIEM 시스템 전체가 장악될 수 있음.
FortiSIEM의 OS 명령 처리 과정에서 특수 요소가 제대로 중화되지 않아, 조작된 TCP 요청을 통해 인증되지 않은 공격자가 임의의 코드, 명령을 실행할 수 있는 취약점.
phMonitor 서비스에 노출된 다수의 명령 핸들러가 근본 원인으로 핸들러는 인증 없이 원격 호출이 가능하여 관리자 권한 파일 쓰기, 권한 상승으로 이어짐.
FortiSIEM 6.7~7.5 버전에 영향.
임시 대응책은 phMonitor 서비스가 사용하는 TCP 포트 7900에 대한 네트워크 접근 제한.
/opt/phoenix/log/phoenix.logs에서 phMonitor가 수신한 메시지 중 PHL_ERROR 항목을 확인하여 공격에 사용된 페이로드 URL, 파일 기록된 경로 식별 가능.
'보안 > 뉴스 스크랩' 카테고리의 다른 글
| [보안/뉴스] 워드프레스 플러그인 'Modular DS' 취약점 악용 (0) | 2026.01.18 |
|---|---|
| [보안/뉴스] 텔레그램 프록시 사용해도 '실제 IP' 노출 위험 (0) | 2026.01.16 |
| [보안/뉴스] 북한 김수키 'Quishing' 공격 (0) | 2026.01.12 |
| [보안/뉴스] RondoDox 봇넷 공격 확산 (React2Shell 취약점) (0) | 2026.01.08 |
| [보안/뉴스] Kimwolf 안드로이드 봇넷 (1) | 2026.01.08 |