A Fortinet divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no FortiSIEM que poderia ser explorada por hackers para executar código remotamente sem necessidade de autenticação. Identificada como CVE-2025-64155, a falha recebeu pontuação 9,4 de 10 no CVSS, refletindo seu alto impacto e facilidade de exploração em ambientes vulneráveis.
De acordo com a empresa, o problema está relacionado a uma injeção de comandos no sistema operacional (OS Command Injection – CWE-78), causada pela neutralização inadequada de caracteres especiais em comandos do sistema. A vulnerabilidade afeta exclusivamente os nós Super e Worker do FortiSIEM e pode ser explorada por meio de requisições TCP especialmente manipuladas, permitindo a execução de comandos não autorizados diretamente no appliance.
Versões afetadas e correções
A Fortinet informou que a falha já foi corrigida nas versões mais recentes do FortiSIEM e recomenda atualização ou migração imediata, conforme o cenário:
-
FortiSIEM 6.7.0 a 6.7.10 – migrar para uma versão corrigida
-
FortiSIEM 7.0.0 a 7.0.4 – migrar para uma versão corrigida
-
FortiSIEM 7.1.0 a 7.1.8 – atualizar para a versão 7.1.9 ou superior
-
FortiSIEM 7.2.0 a 7.2.6 – atualizar para a versão 7.2.7 ou superior
-
FortiSIEM 7.3.0 a 7.3.4 – atualizar para a versão 7.3.5 ou superior
-
FortiSIEM 7.4.0 – atualizar para a versão 7.4.1 ou superior
-
FortiSIEM 7.5 – não afetado
-
FortiSIEM Cloud – não afetado
Detalhes técnicos da exploração
A vulnerabilidade foi descoberta e reportada em agosto de 2025 pelo pesquisador Zach Hanley, da Horizon3.ai. Segundo a análise técnica, o ataque ocorre em duas etapas principais.
Na primeira, há uma injeção de argumentos sem autenticação, que possibilita a escrita arbitrária de arquivos no sistema e resulta na execução remota de código com privilégios de administrador. Em seguida, ocorre a escalada de privilégios, quando a sobrescrita de arquivos específicos leva à execução de código com privilégios de root, comprometendo totalmente o appliance.
O ponto central da falha está no serviço phMonitor, um processo backend essencial do FortiSIEM responsável por funções como monitoramento de saúde, distribuição de tarefas e comunicação entre nós pela porta TCP 7900. Esse serviço expõe diversos manipuladores de comandos sem exigir autenticação e processa requisições relacionadas ao envio de logs para o Elasticsearch.
Ao invocar um script de shell com parâmetros controlados pelo invasor, o serviço permite a injeção de argumentos via curl, abrindo caminho para a gravação arbitrária de arquivos no disco. Um atacante pode explorar esse comportamento para gravar um shell reverso no arquivo /opt/charting/redishb.sh, que é executado automaticamente a cada minuto por um cron job com privilégios de root. Com isso, o invasor obtém controle total do sistema.
Outra vulnerabilidade crítica corrigida
Além do FortiSIEM, a Fortinet também anunciou a correção de uma falha crítica no FortiFone, identificada como CVE-2025-47855 e com pontuação 9,3 no CVSS. Essa vulnerabilidade permite que um hacker obtenha a configuração do dispositivo por meio de uma requisição HTTP(S) especialmente construída ao portal web.
As versões afetadas do FortiFone são:
-
3.0.13 a 3.0.23 – atualizar para a versão 3.0.24 ou superior
-
7.0.0 a 7.0.1 – atualizar para a versão 7.0.2 ou superior
-
7.2 – não afetado
Recomendações
A Fortinet recomenda que todos os clientes atualizem imediatamente seus ambientes para as versões corrigidas. Como medida temporária de mitigação para o CVE-2025-64155, a empresa orienta restringir o acesso à porta TCP 7900, reduzindo a superfície de ataque até que o patch definitivo seja aplicado.
