本篇文章聚焦 Fortinet 公告後的新近安全事件,重點在於 FortiSIEM 的重大漏洞 CVE-2025-64155 已被實際濫用之事實與多方觀察。文章開宗明義指出,此漏洞存在於 FortiSIEM 的 OS 指令處理機制中,屬「improper neutralization」類型漏洞,攻擊者未經驗證即可透過傳送變造的 TCP 請求,執行非授權程式或指令,造成高度風險,CVSS 價值高達 9.4。Fortinet 已推出新版以修補,並建議 7.1 至 7.4 版本用戶升級;而較早的 6.7 與 7.0 版本因已過產品生命週期(EoL)而不再提供官方支持,故也被建議升級。
文章接著報導漏洞被實際濫用的證據與來源。Defused 研究團隊在 Fortinet 公告發布後的兩日,使用蜜罐系統偵測到與 CVE-2025-64155 相關的攻擊指標,範圍涵蓋多家企業的 IP 位址,例如 Baxet Group、Siamdata Communication、Contabo等機構。研究人員指出,由於此漏洞屬注入型漏洞,濫用程式載荷可能包含第二層攻擊者架構或其他可價值情報,使得風險層級不僅僅是單一系統被入侵,而是可能促發後續的滲透與資料流出。這部分提供了現實世界的攻擊廣度與潛在連鎖效應,凸顯漏洞修補的急迫性。
文章後段從攻擊者的手法與事件脈絡深入分析。Pwndefend 以 Defused 的資料為基礎,指稱攻擊者利用分散式網路,動用多國 IP 進行偵察與漏洞濫用,起初以探索與突破為主,後在 1 月 16 日後升高行動,進行暴力破解目錄、反向連線、資訊外洩嘗試並試圖建立長久存取管道。此一發展路徑與常見於「販售存取憑證」或勒索軟體攻擊前置手段的模式相吻合,顯示攻擊者的目標層次與經濟動機可能為後續大型資安事件的前導。Horizon3.ai 提醒,此漏洞的核心在於 phMonitor 服務的十數個指令處理器暴露於未經授權呼叫,透過注入引數即可以管理員權限執行程式碼,並提供入侵指標(IOC),像是 /opt/phoenix/log/phoenix.logs 日誌中出現 PHL_ERROR 的字樣,以及日誌中包含惡意程式來源 URL,管理員可依此進行快速檢查與應對。這段落強調技術層面的實務檢驗點,幫助讀者理解如何在受影響系統中進行取證與排查。
整體而言,本文以實務案例映照漏洞風險的現實性,從漏洞成因、實際濫用證據到攻擊者行為與防護重點,提供讀者一個完整的風險脈絡。此篇文章特別提醒系統管理者及資安團隊,面對已修補但仍在被濫用的漏洞,需快速落實版本升級、強化監控與日誌分析,以及建立持續的滲透測試與通報機制,以降低被攻擊與資料外洩的風險。若要從正式內容中提煉重點,本文所揭示的核心在於漏洞的嚴重程度、已知的濫用跡象與多國攻擊者的跨境行動,以及透過日誌與 IOC 進行快速偵測與防護的實務要點。此篇文章因此成為防護 FortiSIEM 使用者時,一份在升級與風險控管上的重要參考資料。
