Fortinet ha publicado actualizaciones para corregir una falla de seguridad crítica que afectaba a FortiSIEM y que podría permitir a un atacante no autenticado ejecutar código en instancias vulnerables.
La vulnerabilidad de inyección del sistema operativo (OS), rastreada como CVE-2025-64155 , tiene una calificación de 9,4 sobre 10,0 en el sistema de puntuación CVSS.
«Una neutralización inadecuada de los elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo («inyección de comandos del sistema operativo») [CWE-78] en FortiSIEM puede permitir a un atacante no autenticado ejecutar códigos o comandos no autorizados a través de solicitudes TCP elaboradas», dijo la empresa dijo en un boletín del martes.
Fortinet dijo que la vulnerabilidad solo afecta a los nodos Super y Worker, y que se ha abordado en las siguientes versiones:
- FortiSIEM 6.7.0 a 6.7.10 (migrar a una versión fija)
- FortiSIEM 7.0.0 a 7.0.4 (migrar a una versión fija)
- FortiSIEM de 7.1.0 a 7.1.8 (actualización a 7.1.9 o superior)
- FortiSIEM 7.2.0 a 7.2.6 (actualización a 7.2.7 o superior)
- FortiSIEM 7.3.0 a 7.3.4 (actualización a 7.3.5 o superior)
- FortiSIEM 7.4.0 (actualización a 7.4.1 o superior)
- FortiSiem 7.5 (no afectado)
- FortiSiem Cloud (no afectado)
El investigador de seguridad de Horizon3.ai, Zach Hanley, a quien se le atribuye haber descubierto y denunciado la falla el 14 de agosto de 2025, dijo se compone de dos partes móviles -
- Una vulnerabilidad de inyección de argumentos no autenticados que conduce a la escritura arbitraria de archivos, lo que permite la ejecución remota de código como usuario administrador
- Una vulnerabilidad de escalamiento de privilegios de sobrescritura de archivos que conduce al acceso root y compromete por completo el dispositivo
Específicamente, el problema tiene que ver con la forma en que FortiSIEM monitor de pH servicio: un proceso de backend crucial responsable para la supervisión del estado, la distribución de tareas y la comunicación entre nodos a través del puerto TCP 7900: gestiona las solicitudes entrantes relacionadas con el registro de eventos de seguridad en Elasticsearch.
Esto, a su vez, invoca un script de shell con parámetros controlados por el usuario, lo que abre la puerta a la inyección de argumentos mediante curl y logra escrituras arbitrarias de archivos en el disco en el contexto del usuario administrador.
Esta escritura limitada de archivos se puede convertir en un arma para lograr la toma total del sistema, utilizando como arma la inyección del argumento curl para escribir un shell inverso en "/opt/charting/redishb.sh», un archivo en el que puede escribir un usuario administrador y que el dispositivo ejecuta cada minuto mediante un trabajo cron que se ejecuta con permisos de nivel de raíz.
En otras palabras, escribir un shell inverso en este archivo permite la escalación de privilegios del administrador al root, lo que otorga al atacante acceso sin restricciones al dispositivo FortiSIEM. El aspecto más importante del ataque es que el servicio phMonitor expone varios controladores de comandos que no requieren autenticación. Esto facilita que un atacante invoque estas funciones simplemente obteniendo acceso a la red al puerto 7900.
Fortinet también ha enviado correcciones para otro vulnerabilidad de seguridad crítica en FortiFone (CVE-2025-47855, puntuación CVSS: 9.3) que podría permitir a un atacante no autenticado obtener la configuración del dispositivo mediante una solicitud HTTP (S) especialmente diseñada a la página del portal web. Afecta a las siguientes versiones de la plataforma de comunicaciones empresariales:
- FortiFone 3.0.13 a 3.0.23 (actualice a 3.0.24 o superior)
- FortiFone 7.0.0 a 7.0.1 (actualice a 7.0.2 o superior)
- FortiFone 7.2 (no afectado)
Se recomienda a los usuarios que actualicen a las últimas versiones para una protección óptima. Como solución alternativa para el CVE-2025-64155, Fortinet recomienda a los clientes que limiten el acceso al puerto pHMonitor (7900).
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS