Un fallo de inyección de comandos OS permite a atacantes no autenticados ejecutar código arbitrario con privilegios de root, comprometiendo la columna vertebral de la seguridad operativa.
La herramienta diseñada para detectar intrusos se ha convertido en la puerta de entrada. Fortinet ha emitido hoy un aviso de seguridad de máxima prioridad (FG-IR-25-772) advirtiendo sobre una vulnerabilidad crítica en FortiSIEM, su plataforma de gestión de eventos e información de seguridad.
Rastreada como CVE-2025-64155, esta falla ha recibido una puntuación de severidad casi perfecta (CVSS 9.4 a 9.8), lo que indica un riesgo inminente para cualquier organización que exponga la interfaz de gestión de estos dispositivos.
El Fallo: Inyección de Comandos vía API
El problema reside en cómo el sistema procesa ciertos parámetros controlados por el usuario.
- El Mecanismo: Se trata de una vulnerabilidad de Inyección de Comandos del Sistema Operativo (CWE-78). Un atacante puede enviar solicitudes TCP especialmente diseñadas (manipulando payloads XML en configuraciones de almacenamiento) que el sistema no sanea correctamente.
- El Impacto: Esto permite al atacante ejecutar comandos arbitrarios en el servidor subyacente. Dado que los procesos de FortiSIEM suelen ejecutarse con altos privilegios, el éxito del ataque otorga control total (root) sobre el dispositivo, permitiendo borrar logs, robar credenciales o usar el SIEM para atacar otras partes de la red.
- Sin Autenticación: Lo más alarmante es que el ataque no requiere credenciales previas; cualquier persona con acceso de red al puerto afectado puede disparar el exploit.
Descubrimiento y Estado del Exploit
La vulnerabilidad fue reportada de manera responsable por investigadores, quienes han confirmado que el fallo permite la escritura arbitraria de archivos que conduce a la ejecución remota de código (RCE). Es importante notar que reportes de agencias de seguridad (como la CSA de Singapur) indican que ya existe código de explotación disponible públicamente, lo que eleva la urgencia de parchear de “importante” a “crítica”.
Versiones Afectadas
El alcance de la vulnerabilidad cubre múltiples ramas de versiones de FortiSIEM (Super y Worker nodes):
- Versión 7.4: 7.4.0
- Versión 7.3: 7.3.0 a 7.3.4
- Versión 7.2: 7.2.0 a 7.2.6
- Versión 7.1: 7.1.0 a 7.1.8
- Versiones antiguas: 7.0.0 a 7.0.4 y 6.7.0 a 6.7.10.
(Nota: Los nodos “Collector” no parecen estar afectados por este fallo específico).
Solución Inmediata
Fortinet insta a los administradores a actualizar a las siguientes versiones parcheadas inmediatamente:
- Rama 7.4: Actualizar a 7.4.1 o superior.
- Rama 7.3: Actualizar a 7.3.5 o superior.
- Rama 7.2: Actualizar a 7.2.7 o superior.
- Rama 7.1: Actualizar a 7.1.9 o superior.
- Ramas 7.0 y 6.x: Se recomienda migrar a una versión con soporte (fixed release).
Mitigación Temporal (Workaround)
Si la actualización no es posible hoy mismo, Fortinet recomienda como medida paliativa:
- Restringir el acceso al puerto 7900: Este puerto es utilizado por el servicio phMonitor, donde reside la vulnerabilidad. Bloquear el acceso a este puerto desde IPs no confiables mediante un firewall perimetral o reglas locales reduce drásticamente la superficie de ataque.
