Fortinet ha lanzado actualizaciones para abordar una
vulnerabilidad crítica en FortiSIEM que podría permitir a un
atacante no autenticado ejecutar código en instancias vulnerables.
La falla de inyección del sistema operativo (SO), identificada como
CVE-2025-64155, tiene una puntuación CVSS de 9.4. «Una neutralización insuficiente de elementos especiales en
una vulnerabilidad por comando del SO (‘inyección de comandos del sistema operativo’) [CWE-78] en FortiSIEM podría permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes TCP diseñadas», indicó la empresa en un
comunicado del martes.
Fortinet ha señalado que esta vulnerabilidad afecta únicamente a los nodos Super y Worker, y se ha resuelto en las siguientes versiones:
- FortiSIEM 6.7.0 a 6.7.10 (migrar a una versión corregida)
- FortiSIEM 7.0.0 a 7.0.4 (migrar a una versión corregida)
- FortiSIEM 7.1.0 a 7.1.8 (actualizar a 7.1.9 o superior)
- FortiSIEM 7.2.0 a 7.2.6 (actualizar a 7.2.7 o superior)
- FortiSIEM 7.3.0 a 7.3.4 (actualizar a 7.3.5 o superior)
- FortiSIEM 7.4.0 (actualizar a 7.4.1 o superior)
- FortiSIEM 7.5 (NO afectado)
- FortiSIEM Cloud (NO afectado)
Zach Hanley, investigador de seguridad en Horizon3.ai, quien descubrió y reportó la vulnerabilidad el 14 de agosto de 2025, mencionó que consta de dos partes clave:
-
Una vulnerabilidad de inyección de argumentos no autenticados que permite la
escritura arbitraria de archivos, lo que posibilita la ejecución remota de código como administrador. - Una vulnerabilidad de escalamiento de privilegios que conduce al acceso raíz y compromete totalmente el dispositivo.
El problema se relaciona con la forma en que el servicio
phMonitor de FortiSIEM, un proceso backend crucial que se encarga del monitoreo del estado, la distribución de tareas y la comunicación entre nodos a través del puerto TCP 7900, gestiona las solicitudes relacionadas con el registro de eventos de seguridad en Elasticsearch.
Esto invoca un script de shell con parámetros controlados por el usuario, lo que permite la inyección de argumentos a través de curl, logrando escrituras arbitrarias en el disco en el contexto del usuario administrador.
De este modo, escribir una shell en este archivo permite el escalamiento de privilegios del administrador a root, otorgando al atacante acceso total al dispositivo FortiSIEM. Un aspecto crítico del ataque es que el servicio phMonitor expone varios controladores de comandos que no requieren autenticación, facilitando así que un atacante ejecute estas funciones simplemente accediendo a la red en el puerto 7900.
Además, Fortinet ha lanzado parches para otra
vulnerabilidad crítica en FortiFone
(CVE-2025-47855, CVSS: 9.3), que podría permitir a un
atacante no autenticado obtener la configuración del dispositivo a través de una solicitud HTTP(S) específicamente diseñada para la página del portal web. Esta vulnerabilidad afecta las siguientes versiones de la plataforma de comunicaciones empresariales:
- FortiFone 3.0.13 a 3.0.23 (actualizar a 3.0.24 o superior)
- FortiFone 7.0.0 a 7.0.1 (actualizar a 7.0.2 o superior)
- FortiFone 7.2 (NO afectado)
Se recomienda a todos los usuarios actualizar a las versiones más recientes. Como medida adicional para mitigar la vulnerabilidad CVE-2025-64155, Fortinet aconseja limitar el acceso al puerto phMonitor (7900).
Fuente:
THN
Con Información de blog.segu-info.com.ar