1. Alertas de Seguridad
  2. CVE-2025-64155 Inyección remota de comandos no autenticados en Fortinet

CVE-2025-64155 Inyección remota de comandos no autenticados en Fortinet

Fecha de publicación: Mié, 14/01/2026 - 11:57

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha hecho pública la vulnerabilidad CVE-2025-64155, identificada como una inyección de comandos del sistema operativo (OS Command Injection) que puede conducir a la ejecución remota de comandos o código no autorizado (RCE) en la plataforma Fortinet FortiSIEM.

Esta vulnerabilidad permite que un atacante remoto no autenticado, con acceso de red al servicio vulnerable, ejecute comandos arbitrarios en el sistema afectado mediante solicitudes TCP especialmente diseñadas.
La falla se origina por una neutralización inadecuada de la entrada del usuario, lo que permite la construcción insegura de comandos del sistema en el servicio phMonitor.

En escenarios de explotación exitosa, el atacante podría comprometer completamente la confidencialidad, integridad y disponibilidad del dispositivo, y potencialmente lograr persistencia o escalación de privilegios.

Recursos afectados

La vulnerabilidad afecta a las implementaciones locales (on-premise) de FortiSIEM:

  • FortiSIEM: Todas las versiones 7.4 y versiones anteriores.

Nota: FortiSIEM Cloud NO se ve afectado por esta vulnerabilidad.

Solución/Mitigación

La solución definitiva es la aplicación del parche oficial de Fortinet, actualizando FortiSIEM a una versión corregida que elimine la condición de inyección de comandos en el servicio phMonitor.

Fortinet ha publicado versiones parcheadas para las ramas afectadas (por ejemplo: 7.1.9, 7.2.7, 7.3.5, 7.4.1 o superiores, según corresponda). Se recomienda aplicar la actualización de manera prioritaria, debido a la criticidad del impacto y la posibilidad de explotación remota sin autenticación.

Mitigación Temporal (Workarounds). Si no es posible aplicar la actualización de inmediato, se recomienda implementar las siguientes medidas de contención:

  • Bloqueo de Puertos: Restringir o bloquear el acceso al servicio phMonitor en el puerto TCP 7900 desde redes no confiables o desde el internet.
  • Segmentación de Red: Asegurar que el acceso a la gestión de FortiSIEM esté limitado estrictamente a redes administrativas de confianza mediante firewalls perimetrales o de host.

Estas medidas no eliminan la vulnerabilidad, pero reducen significativamente la superficie de ataque.

Indicadores de compromiso

Posibles señales de explotación:

  • Actividad inusual en el puerto 7900: Intentos de conexión desde direcciones IP externas o no autorizadas hacia el servicio phMonitor.
  • Ejecución de comandos anómalos: Evidencia de comandos del sistema ejecutados fuera de los flujos normales de operación de FortiSIEM.
  • Modificación de archivos del sistema: Cambios inesperados en binarios, scripts o configuraciones críticas, especialmente aquellos ejecutados de forma recurrente por tareas programadas (cron jobs).

Recomendaciones

En primera instancia se recomienda realizar una revisión exhaustiva de registros para detectar posibles intentos de explotación o compromisos previos. Se sugiere auditar:

  • Logs del servicio phMonitor: Buscar errores, ejecuciones inusuales o patrones de solicitudes TCP anómalas.
  • Logs del sistema operativo (Auditd/Syslog): Revisar ejecuciones sospechosas de comandos o procesos iniciados por el servicio FortiSIEM.
  • Historial de tareas cron: Verificar modificaciones no autorizadas en scripts ejecutados con privilegios elevados

Prioridad Absoluta: Aplicar el parche oficial de manera prioritaria en todas las instancias vulnerables.

  • Aislamiento: Ante cualquier sospecha de compromiso, aislar el dispositivo de la red para prevenir el movimiento lateral o la exfiltración de credenciales.
  • Auditoría de Cuentas: Revisar exhaustivamente todas las cuentas administrativas y eliminar cualquier acceso o clave SSH que no haya sido autorizada explícitamente.
  • Monitoreo Activo: Activar el monitoreo de logs con alertas específicas para tráfico en el puerto 7900 y cambios en archivos críticos del sistema.
  • Gestión de Riesgos: Incluir formalmente esta vulnerabilidad en el plan de gestión de riesgos de la organización, considerando que FortiSIEM suele almacenar credenciales de integración sensibles.
  • Análisis Post-Patch: Una vez actualizado, realizar un análisis forense básico para asegurar que no existan puertas traseras (backdoors) o persistencia establecida antes de la actualización.

Referencias