Fortinet ha lanzado actualizaciones para abordar una vulnerabilidad de seguridad crítica que afecta a FortiSIEM y que podría permitir que un atacante no autenticado ejecute código en instancias vulnerables.
La vulnerabilidad de inyección del sistema operativo (SO), rastreada como CVE-2025-64155tiene una calificación de 9,4 sobre 10,0 en el sistema de clasificación CVSS.
“La neutralización inadecuada de elementos específicos utilizados en una vulnerabilidad de inyección de comandos del sistema operativo (CWE-78) en FortiSIEM puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes TCP diseñadas”, dijo la compañía en un boletín del martes.
Según Fortinet, la vulnerabilidad solo afecta a los nodos super y trabajador y se ha solucionado en las siguientes versiones:
- FortiSIEM 6.7.0 a 6.7.10 (Migración a una versión fija)
- FortiSIEM 7.0.0 a 7.0.4 (Migración a una versión fija)
- FortiSIEM 7.1.0 a 7.1.8 (actualizar a 7.1.9 o posterior)
- FortiSIEM 7.2.0 a 7.2.6 (actualizar a 7.2.7 o posterior)
- FortiSIEM 7.3.0 a 7.3.4 (actualizar a 7.3.5 o posterior)
- FortiSIEM 7.4.0 (actualizar a 7.4.1 o posterior)
- FortiSIEM 7.5 (No afectado)
- FortiSIEM Cloud (no afectado)
El investigador de seguridad de Horizon3.ai, Zach Hanley, a quien se le atribuye el descubrimiento y el informe del error el 14 de agosto de 2025, dijo que consta de dos partes móviles:
- Una vulnerabilidad de inyección de argumentos no autenticados que da como resultado la escritura de archivos arbitrarios y permite la ejecución remota de código como usuario administrador.
- Una vulnerabilidad de escalada de privilegios de sobrescritura de archivos que conduce al acceso raíz y compromete completamente el dispositivo
Específicamente, el problema se relaciona con cómo el servicio phMonitor de FortiSIEM, un proceso backend clave responsable del monitoreo del estado, la distribución de tareas y la comunicación entre nodos a través del puerto TCP 7900, maneja las solicitudes entrantes relacionadas con el registro de eventos de seguridad en Elasticsearch.
Esto, a su vez, invoca un script de shell con parámetros controlados por el usuario, lo que abre la puerta a la inyección de argumentos a través de Curl y permite la escritura arbitraria de archivos en el disco en el contexto del usuario administrador.
Esta escritura de archivos limitada se puede utilizar como arma para lograr la toma de control total del sistema al utilizar la inyección de argumentos curl para escribir un shell inverso en /opt/charting/redishb.sh, un archivo que puede escribir un usuario administrador y que el dispositivo ejecuta cada minuto mediante un trabajo cron que se ejecuta con privilegios de nivel raíz.
En otras palabras, escribir un shell inverso en este archivo permite la escalada de privilegios del administrador al root y otorga al atacante acceso completo al dispositivo FortiSIEM. El aspecto más importante del ataque es que el servicio phMonitor expone varios controladores de comandos que no requieren autenticación. Esto facilita que un atacante acceda a estas funciones simplemente obteniendo acceso a la red al puerto 7900.
Fortinet también ha implementado correcciones para otra vulnerabilidad crítica en FortiFone (CVE-2025-47855, puntuación CVSS: 9.3) que podría permitir a un atacante no autenticado obtener la configuración del dispositivo a través de una solicitud HTTP(S) especialmente diseñada a la página del portal web. Afecta a las siguientes versiones de la plataforma de comunicaciones corporativas:
- FortiFone 3.0.13 a 3.0.23 (actualizar a 3.0.24 o posterior)
- FortiFone 7.0.0 a 7.0.1 (actualizar a 7.0.2 o posterior)
- FortiFone 7.2 (No afectado)
Se recomienda a los usuarios actualizar a las últimas versiones para una protección óptima. Como solución alternativa para CVE-2025-64155, Fortinet recomienda a los clientes restringir el acceso al puerto phMonitor (7900).
About The Author
