È stata recentemente individuata una grave falla di sicurezza (CVE-2025-25256) che interessa diverse versioni di Fortinet FortiSIEM. A causa della disponibilità di un Proof of Concept (PoC) pubblico, il rischio di sfruttamento è notevolmente aumentato, rendendo necessaria un’attenzione immediata e l’applicazione di misure correttive urgenti.
Panoramica
ID vulnerabilità: CVE-2025-25256
Descrizione: In FortiSIEM è presente una vulnerabilità di injection di comandi OS remota e non autenticata (CWE-78). Questa consente a un utente malintenzionato di eseguire comandi di sistema non autorizzati tramite richieste CLI appositamente predisposte.
Punteggio CVSS v3.1: 9.8 (Critico)
Prodotto interessato: Fortinet FortiSIEM (più versioni)
Tipo di vulnerabilità: OS Command Injection (neutralizzazione impropria di elementi speciali; CWE-78)
Stato dello sfruttamento: È noto che esiste del codice Proof-of-Concept (PoC) in circolazione. Durante lo sfruttamento, di norma non vengono generati indicatori di compromissione (IoC) chiari.
Il PoC è stato pubblicato su GitHub e viene venduto a 350 dollari.
Versioni interessate
Le versioni di FortiSIEM vulnerabili includono:
7.3.0 – 7.3.1 (aggiornare alla 7.3.2 o successive)
7.2.0 – 7.2.5 (aggiornare alla 7.2.6 o successive)
7.1.0 – 7.1.7 (aggiornare alla 7.1.8 o successive)
7.0.0 – 7.0.3 (aggiornare alla 7.0.4 o successive)
6.7.0 – 6.7.9 (aggiornare alla 6.7.10 o successive)
Tutte le versioni di 6.6, 6.5, 6.4, 6.3, 6.2, 6.1 e 5.4 sono anch’esse vulnerabili; aggiornare a qualsiasi release correttiva disponibile.
Impatto
Questa vulnerabilità è dovuta a una sanitizzazione inadeguata dell’input utente nell’interfaccia a riga di comando (CLI) di FortiSIEM. Un attaccante remoto e non autenticato può sfruttare il difetto per eseguire comandi arbitrari a livello di sistema operativo sui sistemi vulnerabili, compromettendo potenzialmente l’integrità, la riservatezza e la disponibilità del sistema.
Monitoraggio e rilevamento
Monitorare i log per attività CLI anomale o comandi insoliti eseguiti tramite phMonitor.
Prestare attenzione a segni comportamentali di compromissione: anche in assenza di IoC distinti, notifiche di sistema elevate o anomalie prestazionali possono indicare un problema.
Aumentare la visibilità a livello di endpoint e rete fino all’applicazione delle patch.
Azioni raccomandate
Aggiornare immediatamente FortiSIEM
Applicare le ultime versioni correttive:
7.4 (non vulnerabile)
7.3.2+, 7.2.6+, 7.1.8+, 7.0.4+ o 6.7.10+
Implementare una soluzione temporanea se l’aggiornamento immediato non è possibile
Limitare l’accesso al servizio phMonitor (porta TCP 7900) esclusivamente a host interni di fiducia.
Riferimenti:
Fortinet Vendor Advisory (FG-IR-25-152) – FortiGuard NVD
Copertura di The Hacker News – The Hacker News
Analisi di Help Net Security – Help Net Security
Avviso CERT-EU (2025-031) – cert.europa.eu
Dettagli tecnici e analisi PoC di Tenable® – Tenable®
Se sei preoccupato per una delle minacce indicate in questo bollettino o hai bisogno di supporto per capire quali azioni intraprendere per proteggerti dalle minacce più rilevanti per la tua organizzazione, contatta il tuo account manager oppure mettiti in contatto per scoprire come possiamo aiutarti a proteggere la tua azienda.