Underc0de - La Casa de los Informáticos

Fortinet ha publicado actualizaciones de seguridad urgentes para corregir una vulnerabilidad crítica en FortiSIEM que podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en sistemas vulnerables. El fallo, identificado como CVE-2025-64155, ha sido calificado con una puntuación CVSS de 9,4 sobre 10, lo que lo sitúa entre los riesgos más graves actualmente conocidos para esta plataforma de gestión de eventos e información de seguridad (SIEM).

La vulnerabilidad pertenece a la categoría de inyección de comandos del sistema operativo (OS Command Injection), específicamente relacionada con una neutralización inadecuada de elementos especiales (CWE-78). Según Fortinet, un atacante puede explotar este fallo mediante solicitudes TCP especialmente diseñadas, logrando ejecutar comandos no autorizados en nodos críticos de la infraestructura.

¿Qué es CVE-2025-64155 y por qué es tan peligrosa?

CVE-2025-64155 afecta al servicio phMonitor, un componente backend fundamental de FortiSIEM encargado de la monitorización de la salud del sistema, la distribución de tareas y la comunicación entre nodos. Este servicio escucha en el puerto TCP 7900, lo que amplía considerablemente la superficie de ataque si dicho puerto está expuesto a redes no confiables.

El problema central radica en cómo phMonitor procesa las solicitudes entrantes relacionadas con el registro de eventos de seguridad en Elasticsearch. Durante este proceso, el servicio invoca scripts de shell con parámetros controlados por el usuario, lo que abre la puerta a inyecciones de argumentos mediante curl. Como resultado, un atacante puede realizar escrituras arbitrarias de archivos en el sistema, inicialmente con privilegios de administrador.

Este tipo de vulnerabilidad es especialmente crítica porque no requiere autenticación previa, permitiendo que un actor malicioso con acceso a la red pueda comprometer completamente la instancia afectada.

Cadena de ataque: de acceso remoto a control total del sistema

El investigador de seguridad Zach Hanley, de Horizon3.ai, a quien Fortinet atribuye el descubrimiento y reporte del fallo el 14 de agosto de 2025, explicó que la explotación completa de CVE-2025-64155 consta de dos etapas clave:

• Inyección de argumentos no autenticada, que conduce a la escritura arbitraria de archivos y permite la ejecución remota de código como usuario administrador.
• Escalada de privilegios mediante sobrescritura de archivos, lo que otorga acceso root y compromete por completo el dispositivo.

En la práctica, la escritura arbitraria de archivos puede utilizarse para inyectar una shell inversa en el archivo /opt/charting/redishb.sh. Este archivo es escribible por el usuario administrador y, lo que es aún más crítico, se ejecuta automáticamente cada minuto mediante un trabajo cron con privilegios de root.

Esto significa que, una vez escrito el payload malicioso, el atacante puede elevar privilegios de administrador a root sin necesidad de interacción adicional, obteniendo control total y persistente sobre el sistema FortiSIEM.

Versiones de FortiSIEM afectadas y soluciones disponibles

Fortinet confirmó que la vulnerabilidad afecta exclusivamente a los nodos Super y Worker de FortiSIEM. Las versiones impactadas y las acciones recomendadas son las siguientes:

• FortiSIEM 6.7.0 a 6.7.10 → Migrar a una versión corregida
• FortiSIEM 7.0.0 a 7.0.4 → Migrar a una versión corregida
• FortiSIEM 7.1.0 a 7.1.8 → Actualizar a 7.1.9 o superior
• FortiSIEM 7.2.0 a 7.2.6 → Actualizar a 7.2.7 o superior
• FortiSIEM 7.3.0 a 7.3.4 → Actualizar a 7.3.5 o superior
• FortiSIEM 7.4.0 → Actualizar a 7.4.1 o superior
• FortiSIEM 7.5 → No afectado
• FortiSIEM Cloud → No afectado

Como medida de mitigación temporal, Fortinet recomienda restringir estrictamente el acceso al puerto TCP 7900 (phMonitor), aunque subraya que esta acción no sustituye la aplicación de los parches oficiales.

Otra vulnerabilidad crítica: FortiFone bajo riesgo

Además de CVE-2025-64155, Fortinet también ha corregido otra vulnerabilidad crítica en FortiFone, identificada como CVE-2025-47855, con una puntuación CVSS de 9,3. Este fallo podría permitir a un atacante no autenticado obtener la configuración del dispositivo mediante una solicitud HTTP(S) especialmente diseñada enviada al Portal Web.

Las versiones afectadas de FortiFone son:

• FortiFone 3.0.13 a 3.0.23 → Actualizar a 3.0.24 o superior
• FortiFone 7.0.0 a 7.0.1 → Actualizar a 7.0.2 o superior
• FortiFone 7.2 → No afectado

Aunque esta vulnerabilidad no implica ejecución directa de código, la exposición de configuraciones sensibles puede facilitar ataques posteriores, incluyendo movimiento lateral y escalada de privilegios.

Recomendaciones finales de seguridad

Fortinet insta a todos los clientes a actualizar inmediatamente a las versiones más recientes de FortiSIEM y FortiFone para garantizar una protección óptima. Dado que FortiSIEM es una plataforma central para la detección y respuesta a incidentes, su compromiso puede tener consecuencias catastróficas para la visibilidad y la seguridad de toda la infraestructura corporativa.

En un contexto de amenazas cada vez más sofisticadas, esta vulnerabilidad subraya la importancia de una gestión proactiva de parches, la segmentación de red, y la limitación de servicios expuestos, especialmente en soluciones críticas de ciberseguridad.

Fuente: https://thehackernews.com/