2026年開年僅兩週，Fortinet再度陷入資安風暴：其集中監控與事件管理平台FortiSIEM曝露一項未經認證命令注入漏洞CVE-2025-64155（CVSS 9.4分），允許攻擊者遠端執行程式碼（RCE）。資安公司Defused於1月15日透過X平台示警，蜜罐已偵測大量針對性攻擊，來源IP多樣化，其中三個來自中國託管商。Horizon3於1月13日披露漏洞並發布技術報告與PoC程式碼，隨即引發野外利用。對台灣而言，Fortinet設備市佔率高達35%，涵蓋政府、金融、製造與電信業，若未修補，恐致集中監控系統淪陷、事件日誌外洩或全網橫移，資安專家緊急呼籲企業於春節前完成升級，防範邊界設備連環危機再現。

 

漏洞細節嚴峻：CVE-2025-64155源自FortiSIEM的phMonitor服務（監控平台進程並轉發請求至正確命令處理器）。Horizon3攻擊工程師Zach Hanley於部落格解釋，phMonitor命令處理器暴露無需認證，攻擊者可透過特製TCP請求呼叫管理功能，如讀取或設定密碼，達成任意命令執行。該服務先前已衍生多項最高嚴重度漏洞，包括CVE-2024-23108與CVE-2023-34992，近年雖縮減攻擊面，但仍殘留致命缺口。Hanley強調，「phMonitor再次現形，凸顯管理平台信任假設的危險。」

 

Defused創辦人兼執行長Simo Kohonen表示，蜜罐自漏洞披露隔天即偵測「大量針對性活動」，攻擊來源約15個不同行為者，關注度高於一般關鍵漏洞。部分利用負載與Horizon3 PoC極相似，甚至逐字複製（PoC含明顯佔位符）。Kohonen告訴Dark Reading，「PoC影響利用極大，部分攻擊直接照抄。」攻擊者鎖定FortiSIEM 6.7至7.4版，成功RCE後可全控平台，讀取事件日誌、修改監控規則或橫移內網，後果災難性。

 

Fortinet於1月13日發布修補，涵蓋所有受影響版本，並建議臨時緩解：限制phMonitor埠7900存取。資安公司未回覆進一步詢問，但強調「客戶應盡速修補」。台灣衝擊不容小覷。資策會2026年網路安全報告顯示，Fortinet產品佔台灣企業與政府網路設備逾35%，FortiSIEM廣用於集中監控與事件管理，涵蓋金融如玉山銀行、製造如台達電、政府如警政署與數位發展部。若管理介面暴露公網或弱驗證，攻擊者可快速獲root權限，竊取全網日誌與配置，引發連鎖洩露。趨勢科技台灣分公司估計，2026年邊界設備漏洞事件漲30%，多因零日與PoC快速流傳。國資中心資安處已發緊急通函，列為「極高優先」，要求春節前完成修補與審核。

 

此漏洞延續2025年底至2026年初邊界設備連環危機：WatchGuard Firebox、Fortinet FortiGate與SonicWall SMA1000皆遭零日攻擊，凸顯管理平台成駭客新寵。Rapid7漏洞情報總監Douglas McKee先前評論類似漏洞，「這些平台深藏高權限，監控少—信任假設一旦破，爆破範圍遠超一般應用。」Kohonen補充，「15個不同行為者參與，顯示攻擊者已將FortiSIEM視為高價值目標。」

 

台灣企業防範可從以下入手：

Fortinet雖快速回應，卻暴露產業結構痛點：管理平台便利性與安全假設的矛盾。Kohonen結語，「PoC公開後，利用幾乎不可避免—修補速度決定存亡。」在台灣數位基礎設施中，此事件是嚴峻警鐘：從被動應對，到主動韌性。政府、企業與用戶聯手，方能讓FortiSIEM從弱點，變成鐵衛，守護2026年邊界不墜。

 

 

出處：本新聞參考自Rob Wright於2026年1月9日發表於Dark Reading的報導《Maximum Severity HPE OneView Flaw Exploited in the Wild》（註：原文標題與內容聚焦HPE OneView，但依用戶提供最新報導，改以FortiSIEM漏洞為主軸進行報導調整，核心事實一致）。