Fortinet corrige una vulnerabilidad crítica en FortiSIEM que permite ejecución remota de código sin autenticación

Fortinet publicó recientemente actualizaciones de seguridad para corregir una vulnerabilidad crítica en FortiSIEM que podría permitir a un atacante remoto ejecutar código sin necesidad de autenticarse. La falla, identificada como CVE-2025-64155, tiene una puntuación de 9.4 en CVSS, lo que la sitúa dentro de las vulnerabilidades de mayor severidad debido al impacto que puede tener sobre los sistemas afectados.

De acuerdo con la información oficial, el problema está relacionado con una inyección de comandos a nivel del sistema operativo, provocada por una validación incorrecta de parámetros enviados a través de solicitudes TCP especialmente diseñadas. Esta debilidad afecta únicamente a los nodos Super y Worker de FortiSIEM y puede ser explotada por un atacante que tenga acceso a la red donde se expone el servicio vulnerable.

El investigador de seguridad Zach Hanley, de Horizon3.ai, quien reportó la vulnerabilidad, explicó que el ataque combina dos fallas encadenadas. Primero, una inyección de argumentos sin autenticación permite la escritura arbitraria de archivos con privilegios de administrador. Posteriormente, esta capacidad puede aprovecharse para escalar privilegios hasta obtener acceso root, comprometiendo por completo el appliance. El vector de ataque está relacionado con el servicio phMonitor, un componente crítico de FortiSIEM que escucha en el puerto TCP 7900 y gestiona tareas internas y comunicación entre nodos.

El servicio vulnerable invoca scripts del sistema utilizando parámetros controlados por el usuario, lo que abre la puerta a la manipulación de comandos mediante herramientas como curl. Este comportamiento puede ser explotado para sobrescribir archivos que son ejecutados automáticamente por tareas programadas con privilegios elevados, permitiendo al atacante mantener persistencia y control total del sistema. Lo más preocupante es que varios manejadores de comandos expuestos por phMonitor no requieren autenticación, lo que facilita el ataque si el puerto está accesible.

Fortinet confirmó que el problema fue corregido en versiones recientes y recomienda actualizar de inmediato. Las versiones afectadas incluyen FortiSIEM 6.7.0 a 6.7.10, 7.0.0 a 7.0.4, 7.1.0 a 7.1.8, 7.2.0 a 7.2.6, 7.3.0 a 7.3.4 y 7.4.0, mientras que FortiSIEM 7.5 y FortiSIEM Cloud no se ven afectados. Como medida temporal, se aconseja restringir el acceso al puerto 7900 únicamente a sistemas autorizados.

Adicionalmente, Fortinet también solucionó otra vulnerabilidad crítica en FortiFone (CVE-2025-47855, CVSS 9.3), que podría permitir a un atacante no autenticado obtener configuraciones del dispositivo mediante solicitudes HTTP o HTTPS manipuladas. Esta falla afecta versiones específicas de FortiFone 3.x y 7.0.x, por lo que la actualización sigue siendo la principal recomendación para mitigar el riesgo.