Se ha identificado recientemente un grave fallo de seguridad (CVE-2025-25256) que afecta a varias versiones de Fortinet FortiSIEM. Debido a la disponibilidad de un Proof of Concept (PoC) público, el riesgo de explotación se ha incrementado significativamente, lo que hace imprescindible prestar atención inmediata y aplicar medidas correctivas urgentes.

Visión general

  • ID de vulnerabilidad: CVE-2025-25256

  • Descripción: Existe una vulnerabilidad de inyección de comandos del sistema operativo (OS Command Injection) remota y no autenticada (CWE-78) en FortiSIEM. Permite a un atacante ejecutar comandos de sistema no autorizados mediante solicitudes CLI especialmente diseñadas.

  • Puntuación CVSS v3.1: 9.8 (Crítica)

  • Producto afectado: Fortinet FortiSIEM (varias versiones)

  • Tipo de vulnerabilidad: Inyección de comandos OS (neutralización incorrecta de elementos especiales; CWE-78)

  • Estado de explotación: Se sabe que existe código Proof-of-Concept (PoC) en circulación. Normalmente, la explotación no produce indicadores claros de compromiso (IoC).

El PoC se ha publicado en GitHub y se vende por 350 dólares.

Versiones afectadas
Las versiones vulnerables de FortiSIEM incluyen:

  • 7.3.0 – 7.3.1 (actualizar a 7.3.2 o superior)

  • 7.2.0 – 7.2.5 (actualizar a 7.2.6 o superior)

  • 7.1.0 – 7.1.7 (actualizar a 7.1.8 o superior)

  • 7.0.0 – 7.0.3 (actualizar a 7.0.4 o superior)

  • 6.7.0 – 6.7.9 (actualizar a 6.7.10 o superior)

  • Todas las versiones de 6.6, 6.5, 6.4, 6.3, 6.2, 6.1 y 5.4 también están afectadas; actualizar a cualquier versión corregida disponible.

Impacto
Esta vulnerabilidad se debe a una sanitización inadecuada de la entrada del usuario en la interfaz de línea de comandos (CLI) de FortiSIEM. Un atacante remoto y no autenticado puede aprovecharla para ejecutar comandos arbitrarios a nivel de sistema operativo en sistemas vulnerables, comprometiendo potencialmente la integridad, confidencialidad y disponibilidad del sistema.

Monitoreo y detección

  • Supervisar los registros en busca de actividad CLI anómala o comandos inusuales ejecutados mediante phMonitor.

  • Observar signos de compromiso a nivel comportamental: aunque no haya IoC claros, notificaciones elevadas del sistema o anomalías de rendimiento pueden indicar compromiso.

  • Incrementar la visibilidad a nivel de endpoints y red hasta que se apliquen los parches.

Acciones recomendadas

  1. Actualizar FortiSIEM de inmediato
    Aplicar las versiones corregidas más recientes:

    • 7.4 (no afectada)

    • 7.3.2+, 7.2.6+, 7.1.8+, 7.0.4+ o 6.7.10+

  2. Implementar una solución temporal si no es posible actualizar de inmediato
    Restringir el acceso al servicio phMonitor (puerto TCP 7900) únicamente a hosts internos de confianza.

Referencias:

  • Fortinet Vendor Advisory (FG-IR-25-152) – FortiGuard NVD

  • Cobertura de The Hacker News – The Hacker News

  • Análisis de Help Net Security – Help Net Security

  • Aviso CERT-EU (2025-031) – cert.europa.eu

  • Detalles técnicos y análisis PoC de Tenable® – Tenable®

Si te preocupa alguna de las amenazas descritas en este boletín o necesitas ayuda para determinar qué pasos debes dar para protegerte frente a las amenazas más relevantes para tu organización, ponte en contacto con tu account manager o contáctanos para descubrir cómo podemos ayudarte a proteger tu empresa.

 

Contáctanos