Uncategorized

Fortinet advierte sobre vulnerabilidad crítica en FortiSIEM (CVE-2025-25256) con explotación activa

Posted on by Karmina Clemente
13
Ago

13 de agosto de 2025 — Fortinet ha emitido una advertencia crítica sobre una grave vulnerabilidad en su plataforma FortiSIEM, confirmando que existe código de explotación activo circulando en entornos reales.

El fallo, identificado como CVE-2025-25256, cuenta con una puntuación de severidad CVSS de 9.8 sobre 10, ubicándolo en el nivel de riesgo más alto.

Según Fortinet, la vulnerabilidad proviene de un fallo de inyección de comandos del sistema operativo (CWE-78). Este problema podría permitir que un atacante no autenticado ejecute comandos o código no autorizado en los sistemas afectados mediante solicitudes CLI especialmente manipuladas.

Versiones afectadas

Las siguientes versiones de FortiSIEM se consideran vulnerables:

  • FortiSIEM 6.1 a 6.6 – Migrar a una versión corregida
  • FortiSIEM 6.7.0 a 6.7.9 – Actualizar a la versión 6.7.10 o posterior
  • FortiSIEM 7.0.0 a 7.0.3 – Actualizar a la versión 7.0.4 o posterior
  • FortiSIEM 7.1.0 a 7.1.7 – Actualizar a la versión 7.1.8 o posterior
  • FortiSIEM 7.2.0 a 7.2.5 – Actualizar a la versión 7.2.6 o posterior
  • FortiSIEM 7.3.0 a 7.3.1 – Actualizar a la versión 7.3.2 o posterior
  • FortiSIEM 7.4 – No afectado

Código de explotación detectado en entornos reales

Fortinet confirmó que se ha detectado código de explotación funcional en uso activo, aunque no proporcionó detalles sobre su distribución o procedencia. Asimismo, advirtió que este método de ataque no genera indicadores de compromiso (IoCs) claros, lo que dificulta su detección.

Medidas recomendadas

Aunque la actualización inmediata a versiones seguras es la solución más efectiva, Fortinet sugiere la siguiente medida temporal para quienes no puedan aplicar el parche de inmediato:

  • Restringir el acceso al puerto phMonitor (7900) para reducir la superficie de ataque.

Un panorama de amenazas en aumento

Esta advertencia se publica apenas un día después de que la firma de inteligencia de amenazas GreyNoise reportara un incremento significativo de ataques de fuerza bruta contra dispositivos Fortinet SSL VPN. El aumento involucra múltiples direcciones IP de países como Estados Unidos, Canadá, Rusia y los Países Bajos, realizando exploraciones a dispositivos en todo el mundo.

Fuente: https://thehackernews.com/2025/08/fortinet-warns-about-fortisiem.html

Karmina Clemente