Freym PC Blog

CVE‑2025‑64155: FortiSIEM (RCE no autenticado, CVSS 9.4/9.8)

Admin
January 22, 2026
CVE‑2025‑64155: FortiSIEM (RCE no autenticado, CVSS 9.4/9.8)
Translate to:
Comparativa de herramientas LLM locales

FortiSIEM sufre una inyección de comandos OS (CWE‑78) en el servicio phMonitor (puerto TCP expuesto), que permite a atacantes no autenticados con acceso de red escribir archivos arbitrarios como usuario admin y lograr RCE persistente, escalando incluso a root.

  • Vector de ataque: petición TCP crafted al endpoint de configuración de storage "elastic" (script elastic_test_url.sh), donde input controlado se pasa a un comando curl sin sanitización adecuada, permitiendo inyección de argumentos para escribir ficheros en rutas arbitrarias (ej. sobrescribir binarios/scripts periódicos).
  • Impacto: control total del nodo Super/Worker (no afecta Collectors ni FortiSIEM Cloud 7.5+). Horizon3.ai demostró escribir reverse shells en ficheros ejecutados cada minuto para escalada root.
  • Explotación: divulgada el 13/01/2026 por Fortinet; PoC pública liberada por Horizon3.ai (descubierta como zero‑day en agosto 2025). Hay evidencias de explotación: recon con ICMP/DNS exfil, brute force de directorios y webshells desde IPs distribuidas (Pakistán, Japón, China, US).
  • Afectados: FortiSIEM 7.4.0, 7.3.0‑7.3.4, 7.1.0‑7.1.8, 7.0.0‑7.0.4, 6.7.0‑6.7.10.

CVE‑2025‑25249: FortiOS / FortiSwitchManager (Heap overflow, CVSS 7.3/7.4)

Es un heap‑based buffer overflow en el daemon cw_acd (procesa requests específicos), que permite a atacantes remotos no autenticados ejecutar código arbitrario vía peticiones crafted.

  • Vector de ataque: requests malformados al cw_acd provocan overflow en heap, potencialmente RCE o DoS, en firewalls FortiOS y FortiSwitchManager.
  • Impacto: ejecución de comandos arbitrarios en dispositivos perimetrales, ideal para pivoteo hacia redes internas o infraestructuras críticas si el firewall actúa como gateway.
  • Explotación: divulgada el 13/01/2026 por Fortinet (autodescubrimiento); no hay PoC pública confirmada aún, pero severidad alta por ser no autenticado y remoto.
  • Afectados: múltiples versiones de FortiOS y FortiSwitchManager (detalles en advisory de Fortinet).

Medidas recomendadas (priorizadas)

  • Inmediatas: actualizar a versiones parcheadas (consultar advisories de Fortinet para FortiSIEM y FortiOS específicos). Deshabilitar phMonitor/cw_acd si no se usan o restringir acceso de red (firewall rules estrictas).
  • Detección: revisar logs de FortiSIEM por requests anómalos a phMonitor (ej. storage elastic), ICMP/DNS exfil o brute force con gobuster. Buscar webshells como redishb.sh o cambios en binarios/scripts.
  • Mitigación: aislar nodos Super/Worker, monitorizar tráfico TCP a puertos de servicios expuestos, y aplicar BOD 22‑01 si usas cloud Fortinet. Si no puedes parchear ya, desconectar de Internet temporalmente.

Tabla de comparación CVE

CVE Producto Tipo de bug CVSS Autenticación Explotación confirmada PoC pública
CVE-2025-64155 FortiSIEM (Super/Worker) OS Command Injection (curl) 9.4/9.8 No Sí (oportunista)
CVE-2025-25249 FortiOS / FortiSwitchManager Heap Buffer Overflow (cw_acd) 7.3/7.4 No No (aún) No

Si gestionas FortiSIEM/FortiOS (versiones concretas o despliegue Super/Collector), puedo ayudarte con comandos de chequeo, queries de logs o pasos de remediación adaptados.

Comments (0)

No comments yet. Be the first to comment!