La dernière vulnérabilité phMonitor perpétue une tendance pluriannuelle de failles d’injection de commandes non authentifiées dans la plate-forme SIEM de Fortinet.
Un problème critique d’injection de commandes dans Fortinet FortiSIEM a été révélé avec un code d’exploitation public, et les chercheurs affirment que les attaquants auraient pu obtenir à distance un accès root non authentifié à la plate-forme SIEM pendant près de trois ans. La faille appartient à une classe de faiblesses de FortiSIEM, remontant à 2023 et 2024.
Suivie comme CVE-2025-64155, la vulnérabilité affecte le service phMonitor, un composant interne de FortiSIEM qui exécute des privilèges élevés et joue un rôle central dans la santé et la surveillance du système. Le code d’exploitation a été divulgué cette semaine par la plateforme de test Horizon3.ai, qui a révélé que la faille permet aux attaquants d’injecter des commandes et d’écrire des fichiers arbitraires qui sont ensuite exécutés en tant qu’utilisateur root.
Selon Horizon3, la faille a été divulguée de manière responsable à Fortinet en août 2025 et est restée privée jusqu’à ce que le fournisseur publie des correctifs et lui attribue un CVE mardi.
phMonitor devient une passerelle racine non authentifiée
Le problème concerne le service phMonitor de FortiSIEM, qui écoute sur le port TCP 7900 et est conçu pour coordonner les tâches de surveillance interne. Selon Horizon3.ai, une vérification insuffisante des entrées permet aux attaquants d’injecter des commandes shell qui sont finalement écrites sur le disque et exécutées avec les privilèges root sans authentification.
Étant donné que phMonitor est profondément intégré au flux de travail opérationnel de FortiSIEM, une exploitation réussie donne effectivement aux attaquants le contrôle total des informations de sécurité et même de l’appliance de gestion (SIEM). Ce contrôle peut être exploité pour désactiver la journalisation, falsifier les alertes ou pivoter latéralement vers le réseau d’entreprise plus large.
Les chercheurs d’Horizon3 ont noté dans un article de blog que CVE-2025-64155 n’est pas une faille isolée mais fait partie d’une classe plus large de faiblesses liées à phMonitor qui sont apparues au cours de plusieurs cycles de divulgation. Les problèmes précédemment signalés affectant le même service ont permis différentes formes d’injection de commandes ou d’arguments, parfois avec des primitives plus limitées, mais exposant systématiquement phMonitor comme une surface d’attaque non authentifiée.
« Le service phMonitor rassemble les requêtes entrantes vers leurs gestionnaires de fonctions appropriés en fonction du type de commande envoyée dans la requête API », ont-ils déclaré. « Chaque gestionnaire de commandes est mappé à un entier, qui est transmis dans le message de commande. Le problème de sécurité n°1 est que tous ces gestionnaires sont exposés et disponibles pour que tout client distant puisse les invoquer sans aucune authentification. »
Avant la divulgation de CVE-2025-64155, Fortinet avait déjà corrigé une faille critique d’injection de commandes dans FortiSIEM, identifiée comme CVE-2025-25256 plus tôt en août 2025. Cette vulnérabilité provenait également d’une mauvaise gestion des commandes du système d’exploitation et était suffisamment importante pour que Fortinet reconnaisse le fonctionnement du code d’exploitation dans la nature, provoquant des correctifs dans plusieurs versions de FortiSIEM prises en charge.
Le code d’exploitation change l’équation du risque
Bien que Fortinet ait publié des correctifs et des conseils d’atténuation, l’analyse de Tenable met en évidence la probabilité d’attaques réelles, car un code d’exploitation fonctionnel est désormais public.
« La récente divulgation du CVE-2025-64155 ainsi que du code d’exploitation public constitue un début inquiétant pour 2026 », a déclaré Scott Caveza, ingénieur de recherche senior chez Tenable. « Bien qu’aucune exploitation connue n’ait été signalée, les vulnérabilités de Fortinet restent l’une des principales cibles des attaquants, y compris des groupes étatiques. »
Horizon3 et Tenable soulignent que les organisations doivent immédiatement appliquer les correctifs de Fortinet et restreindre l’accès au port 7900 autant que possible. Même en l’absence d’exploitation confirmée, CVE-2025-64155 représente une cible de grande valeur.
CVE-2025-64155 porte un indice de gravité critique avec un score CVSS de 9,4 sur 10 et affecte plusieurs versions de FortiSIEM, notamment 7.4.0, 7.3.0-7.3.4, 7.1.0-7.1.8, 7.0.0-7.0.4 et 6.7.0-6.7.10. Fortinet a publié des versions corrigées telles que FortiSIEM 7.4.1, 7.3.5, 7.2.7 et 7.1.9 (et versions ultérieures) pour résoudre le problème.
