Schedule a Strategy Call

Vulnerabilidad Crítica en FortiSIEM (CVE-2025-25256) con Explotación Activa

Exploit para zero-day en Fortinet con ejecución remota

Fortinet ha emitido una advertencia urgente sobre una vulnerabilidad crítica en FortiSIEM, identificada como CVE-2025-25256, que ya cuenta con código de explotación activo en entornos reales.
El fallo posee una puntuación CVSS de 9.8/10, lo que indica un riesgo extremadamente alto para las organizaciones que utilicen versiones afectadas.

Descripción técnica de la vulnerabilidad

El problema radica en una inyección de comandos del sistema operativo (OS Command Injection – CWE-78).
Esto permite que un atacante no autenticado ejecute comandos o código malicioso en el sistema mediante peticiones CLI manipuladas, comprometiendo por completo la integridad del entorno.

Versiones afectadas y acciones recomendadas

Las versiones vulnerables de FortiSIEM son:

  • 6.1, 6.2, 6.3, 6.4, 6.5, 6.6 → Migrar a una versión corregida.
  • 6.7.0 a 6.7.9 → Actualizar a 6.7.10 o superior.
  • 7.0.0 a 7.0.3 → Actualizar a 7.0.4 o superior.
  • 7.1.0 a 7.1.7 → Actualizar a 7.1.8 o superior.
  • 7.2.0 a 7.2.5 → Actualizar a 7.2.6 o superior.
  • 7.3.0 a 7.3.1 → Actualizar a 7.3.2 o superior.

Riesgo e impacto empresarial

Fortinet ha confirmado que ya se ha detectado código de explotación funcional circulando en la red, aunque no ha dado detalles de su origen ni de campañas específicas.
Un punto crítico: no existen indicadores de compromiso (IoCs) fácilmente detectables, lo que dificulta la identificación de incidentes.

Medidas de mitigación urgentes

Mientras se aplican las actualizaciones, se recomienda:

  1. Limitar el acceso al puerto phMonitor (7900) exclusivamente a direcciones IP autorizadas.
  2. Monitorear actividades anómalas en FortiSIEM, aunque la ausencia de IoCs obliga a reforzar la supervisión general del sistema.
  3. Aislar entornos críticos de exposición directa a Internet.

Contexto adicional de amenazas

Esta advertencia surge un día después de que investigadores reportara un aumento significativo en ataques de fuerza bruta contra Fortinet SSL VPN, con origen en múltiples países, incluyendo Estados Unidos, Canadá, Rusia y Países Bajos.
Esto refuerza la necesidad de mantener una política de actualizaciones proactiva y aplicar segmentación de red.

Recomendación final: Las organizaciones que utilicen FortiSIEM deben actuar de inmediato para aplicar los parches o migrar a versiones seguras. La explotación activa y la ausencia de IoCs hacen que la ventana de respuesta sea extremadamente reducida.

Back to all Post

Related Post