Fortinet está alertando a sus clientes sobre una vulnerabilidad crítica en FortiSIEM, para la que afirma que existe un exploit en circulación.
La vulnerabilidad, identificada como CVE-2025-25256, tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0.
"Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo ("OS Command Injection") [CWE-78] en FortiSIEM puede permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes CLI diseñadas", afirmó la empresa en un aviso publicado el martes.
Las siguientes versiones se ven afectadas por la vulnerabilidad:
- FortiSIEM 6.1, 6.2, 6.3, 6.4, 6.5, 6.6 (Migrar a una versión fija)
- FortiSIEM 6.7.0 a 6.7.9 (actualizar a 6.7.10 o superior)
- FortiSIEM 7.0.0 a 7.0.3 (actualizar a 7.0.4 o superior)
- FortiSIEM 7.1.0 a 7.1.7 (actualizar a 7.1.8 o superior)
- FortiSIEM 7.2.0 a 7.2.5 (actualizar a 7.2.6 o superior)
- FortiSIEM 7.3.0 a 7.3.1 (actualizar a 7.3.2 o superior)
- FortiSIEM 7.4 (no se ve afectado)
Fortinet reconoció en su aviso que "se ha encontrado en circulación un código de explotación práctico para esta vulnerabilidad", pero no compartió más detalles sobre la naturaleza del exploit ni dónde se encontró. También señaló que el código de explotación no parece producir indicadores de compromiso (IoC) distintivos.
Como solución provisional, la empresa de seguridad de redes recomienda a las organizaciones que limiten el acceso al puerto phMonitor (7900).
La revelación se produce un día después de que GreyNoise advirtiera de un "aumento significativo" del tráfico de fuerza bruta dirigido a los dispositivos SSL VPN de Fortinet, con docenas de direcciones IP de Estados Unidos, Canadá, Rusia y los Países Bajos sondeando dispositivos ubicados en todo el mundo.
Fuente: thehackernews