{"id":314546,"date":"2025-08-13T14:43:07","date_gmt":"2025-08-13T12:43:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314546"},"modified":"2025-08-13T16:47:10","modified_gmt":"2025-08-13T14:47:10","slug":"wird-fortinet-0-day-rce-exploit-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/13\/wird-fortinet-0-day-rce-exploit-angegriffen\/","title":{"rendered":"Wird Fortinet 0-Day RCE Exploit angegriffen? RCE-Schwachstelle in FortiSIEM"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Jemand aus der Leserschaft f\u00fcr die Administration von Fortinet-Produkten zust\u00e4ndig? Im Moment deutet sich an, dass Fortinet SSL VPNs weltweit gezielt \u00fcber verschiedene IP-Adressen angegriffen werden. Da bahnt sich wom\u00f6glich was an. Gleichzeitig ist mir die Information untergekommen, dass ein Akteur einen 0-day-RCE-Expolit verkauft. Ich ziehe mal einige Informationen zusammen. Erg\u00e4nzung:<\/strong> Es gibt eine kritische RCE.Schwachstelle in FortySIEM.<\/p>\n

<\/p>\n

Angeblich Fortinet 0-Day RCE Exploit im Angebot<\/h2>\n

\"\"Mir ist auf X der nachfolgende Tweet<\/a> aus Sicherheitskreisen untergekommen. Der Bedrohungsakteur mit dem Alias WISDOM bietet im Dark-Net einen Fortinet 0-day Remote Code Exploit zum Preis von 0.5 Bitcoins an.<\/p>\n

\"Fortinet<\/a><\/p>\n

Der Verk\u00e4ufer behauptet, dass der angebotene 0-Day-Exploit eine Remote-Code-Ausf\u00fchrung (RCE) unter den FortiOS VPN-Versionen 7.4 bis 7.6 erm\u00f6glicht. Das Angebot umfasst laut Tweet einen Proof of Concept (PoC), der f\u00fcr ernsthafte K\u00e4ufer mit einer Anzahlung oder einem etablierten Ruf verf\u00fcgbar ist.<\/p>\n

Das ist erst einmal eine nicht verifizierbare Behauptung, die im Raum steht, ohne dass da was belegt werden kann. Ein Nutzer antwortete auf X, dass dieses Angebot etwas verd\u00e4chtig erscheine, da\u00a0die SSL-VPN-Funktion in Fortinet Version 7.6 entfernt wurde. Daher m\u00fcsste eine Schwachstelle im IPSEC-VPN enthalten sein. Das sei aber f\u00fcr Fortinet Version\u00a0 7.4 in der Regel keine praktikable Angriffsfl\u00e4che, da es nicht f\u00fcr RAS verwendet wird. Muss ich so im Raum stehen lassen, und ich h\u00e4tte es nicht aufgegriffen, wenn es nicht noch eine Beobachtung g\u00e4be.<\/p>\n

Angriffe auf Fortinet SSL-VPNs\/FortiManager<\/h2>\n

In nachfolgendem Tweet<\/a> findet sich die Information, dass \u00fcber 780 b\u00f6sartige IP-Adressen beobachtet wurden, die vor Stunden einen koordinierten Brute-Force-Angriff auf Fortinet SSL-VPNs gestartet haben.<\/p>\n

\"Angriffe<\/a><\/p>\n

Mitten in der Kampagne haben die Angreifer aber ihr Ziel auf den FortiManager verlagert. Sicherheitsforscher warnen, dass dieses Muster oft innerhalb weniger Wochen einer neuen CVE-Offenlegung vorausgeht.<\/p>\n

Ein weiterer Sicherheitsanbieter antwortete auf den obigen Tweet, dass diese beobachteten Angriffe nicht nur das \u00fcbliche Rauschen seien. Es sieht wie\u00a0die Aufkl\u00e4rung vor dem Eindringen in die IT-Netzwerke von Fortinet-Kunden aus. Der gegebene Ratschlag an Administratoren von Fortinet-Ger\u00e4te lautet, das es jetzt an der Zeit sei, die Patch-Level der Instanzen zu \u00fcberpr\u00fcfen, den VPN-Zugang zu versch\u00e4rfen bzw. besser abzusichern und auf ungew\u00f6hnliche Administratoraktivit\u00e4ten zu achten.<\/p>\n

kritische Schwachstelle in FortySIEM<\/h2>\n

Erg\u00e4nzung:<\/strong> Es gibt eine kritische RCE-Schwachstelle CVE-2025-25256 mit CVSS 3.1 Score von 9.8 in FortySIEM, wie FortiGuard Labs hier mitteilt<\/a> (via<\/a>).\u00a0Eine unsachgem\u00e4\u00dfe Neutralisierung spezieller Elemente, die in einem Betriebssystembefehl verwendet werden (\"OS Command Injection\"), verursacht eine Sicherheitsl\u00fccke in FortiSIEM. Durch die Schwachstelle k\u00f6nnte ein nicht authentifizierter Angreifer \u00fcber speziell gestaltete CLI-Anfragen nicht autorisierten Code oder Befehle ausf\u00fchren.<\/p>\n

Der Hersteller teilte mit, dass ein praktischer Exploit-Code f\u00fcr diese Sicherheitsl\u00fccke in freier Wildbahn gefunden wurde. Die Empfehlung lautet, den Zugriff auf den phMonitor-Port (7900) einschr\u00e4nken. Im Sicherheitshinweis<\/a> findet sich die Liste der betroffenen FortiSIEM-Versionen und ein Update zur Mitigation.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Jemand aus der Leserschaft f\u00fcr die Administration von Fortinet-Produkten zust\u00e4ndig? Im Moment deutet sich an, dass Fortinet SSL VPNs weltweit gezielt \u00fcber verschiedene IP-Adressen angegriffen werden. Da bahnt sich wom\u00f6glich was an. Gleichzeitig ist mir die Information untergekommen, dass ein … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-314546","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314546","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=314546"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314546\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=314546"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=314546"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=314546"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}