Fortinet ha lanzado actualizaciones para corregir una falla de seguridad crítica que afecta a FortiSIEM y que podría permitir que un atacante no autenticado logre la ejecución de código en instancias susceptibles.
La vulnerabilidad de inyección del sistema operativo (SO), rastreada como CVE-2025-64155, tiene una calificación de CVSS 9,4. "Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo ('inyección de comando del sistema operativo') en FortiSIEM puede permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes TCP diseñadas", dijo la compañía en un boletín del martes.
Fortinet dijo que la vulnerabilidad afecta solo a los nodos Super y Worker, y que se ha solucionado en las siguientes versiones:
- FortiSIEM 6.7.0 a 6.7.10 (migrar a una versión corregida)
- FortiSIEM 7.0.0 a 7.0.4 (migrar a una versión corregida)
- FortiSIEM 7.1.0 a 7.1.8 (actualizar a 7.1.9 o superior)
- FortiSIEM 7.2.0 a 7.2.6 (actualizar a 7.2.7 o superior)
- FortiSIEM 7.3.0 a 7.3.4 (actualizar a 7.3.5 o superior)
- FortiSIEM 7.4.0 (actualizar a 7.4.1 o superior)
- FortiSIEM 7.5 (NO afectado)
- FortiSIEM Cloud (NO afectado)
El investigador de seguridad de Horizon3.ai, Zach Hanley, a quien se le atribuye el descubrimiento y el informe de la falla el 14 de agosto de 2025, dijo que consta de dos partes móviles:
- Una vulnerabilidad de inyección de argumentos no autenticados que conduce a la escritura arbitraria de archivos, lo que permite la ejecución remota de código como usuario administrador.
- Una vulnerabilidad de escalamiento de privilegios de sobrescritura de archivos que conduce al acceso raíz y compromete completamente el dispositivo.
Específicamente, el problema tiene que ver con cómo el servicio phMonitor de FortiSIEM, un proceso backend crucial responsable del monitoreo del estado, la distribución de tareas y la comunicación entre nodos a través del puerto TCP 7900, maneja las solicitudes entrantes relacionadas con el registro de eventos de seguridad en Elasticsearch.
Esto, a su vez, invoca un script de shell con parámetros controlados por el usuario, abriendo así la puerta a la inyección de argumentos a través de curl y logrando escrituras de archivos arbitrarios en el disco en el contexto del usuario administrador.
En otras palabras, escribir una shell en este archivo permite el escalamiento de privilegios del administrador al root, otorgando al atacante acceso ilimitado al dispositivo FortiSIEM. El aspecto más importante del ataque es que el servicio phMonitor expone varios controladores de comandos que no requieren autenticación. Esto facilita que un atacante invoque estas funciones simplemente obteniendo acceso de red al puerto 7900.
Fortinet también ha enviado correcciones para otra vulnerabilidad de seguridad crítica en FortiFone (CVE-2025-47855, CVSS: 9.3) que podría permitir a un atacante no autenticado obtener la configuración del dispositivo a través de una solicitud HTTP(S) especialmente diseñada a la página del portal web. Afecta a las siguientes versiones de la plataforma de comunicaciones empresariales:
- FortiFone 3.0.13 a 3.0.23 (actualizar a 3.0.24 o superior)
- FortiFone 7.0.0 a 7.0.1 (Actualizar a 7.0.2 o superior)
- FortiFone 7.2 (NO afectado)
Se recomienda a los usuarios que actualicen a las últimas versiones. Como solución alternativa para CVE-2025-64155, Fortinet recomienda que los clientes limiten el acceso al puerto phMonitor (7900).
Fuente: THN
https://www.b1nary0.com.ar/vulnerabilidad-critica-de-fortisiem-permite-ejecucion-de-codigo-a-usuarios-no-autenticados/9476/
