FortiSIEM’de Kritik Güvenlik Açığı: CVE-2025-25256
Fortinet’in Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümünde keşfedilen kritik bir güvenlik açığı, uzaktan, kimlik doğrulaması olmadan saldırı gerçekleştirebilen kötü niyetli bireyler tarafından istismar edilebilir. Bu açık, $CVE-2025-25256$ kodu ile tanımlanmaktadır ve sistemdeki iki sorunun birleşimi olarak, yönetici izinleri ile rastgele yazma ve kök erişimi elde etme imkanı sunmaktadır.
Saldırı Nasıl Çalışıyor?
Araştırmacılar, Horizon3.ai tarafından Temmuz 2025’te bildirilen güvenlik sorununu incelemiştir. Fortinet, Kasım 2025’te ürünün beş geliştirme dalından dördünde bu açığı kapattığını duyurmuş ve bu hafta içinde tüm etkilenen versiyonların güncellendiğini açıklamıştır. CVE-2025-25256 açığının, FortiSIEM’in phMonitor servisinde yer alan birçok komut işleyicisinin kimlik doğrulaması olmadan çağrılabilmesi nedeniyle ortaya çıktığı belirtilmektedir.
Horizon3.ai, bu açığın önceden $CVE-2023-34992$ ve $CVE-2024-23108$ gibi başka güvenlik açıkları için de giriş noktası olduğunu açıklamaktadır. Ayrıca, Black Basta gibi fidye yazılımı gruplarının bu açıklarla ilgilendiği vurgulanmaktadır.
Etkilenen Sistemler
Bu açık, FortiSIEM’in aşağıdaki versiyonlarını etkilemektedir:
- FortiSIEM 7.4.1 ve üzeri
- FortiSIEM 7.3.5 ve üzeri
- FortiSIEM 7.2.7 ve üzeri
- FortiSIEM 7.1.9 ve üzeri
Ayrıca, FortiSIEM 7.0 ve 6.7.0 sürümleri de etkilenmektedir fakat bu sürümler artık desteklenmediği için, CVE-2025-25256 için bir güncelleme almayacaklardır. Fortinet, bu açığın FortiSIEM 7.5 ve FortiSIEM Cloud sürümlerini etkilemediğini de belirtmiştir.
Çözüm ve Korunma
Fortinet, bu güvenlik açığını gidermek için bir güncelleme sunmuş ve güvenlik tavsiyesi yayınlamıştır. Ancak, güncellemeyi hemen uygulayamayan kullanıcılar için önerilen tek geçici çözüm, phMonitor portu (7900) üzerindeki erişimi sınırlamaktır. Horizon3.ai’nın paylaştığı belirtiler, şirketlerin sistemlerinin hangi noktalarının tehlikeye atıldığını anlamalarına yardımcı olabilir. Kullanıcılar, “PHL_ERROR” içeren log satırlarını kontrol ederek saldırı girişimlerine dair bilgi sahibi olabilirler.
Sonuç
Bu önemli güvenlik açığı nedeniyle, tüm etkilenen sistemlerin güncellenmesi kritik öneme sahiptir. Şirketler, hemen güncellemeleri uygulamalı ve saldırı yüzeylerini azaltmak için önerilen geçici çözümü hayata geçirmelidir. Güvenlik açığı ile ilgili loglar dikkatlice gözden geçirilmeli ve şüpheli etkinlikler izlenmelidir.
