Vulnerabilidad Crítica en FortiSIEM (v5.4 – v7.3)
El 12 de Agosto del 2025 Fortinet publico un aviso advirtiendo sobre la explotación activa de una vulnerabilidad critica (CVSS 9.8) en su producto FortiSIEM.
FortiSIEM es una solución de gestión de eventos e información de seguridad (SIEM) que integra análisis avanzado de registros, monitoreo de tráfico, evaluación de rendimiento y disponibilidad, así como análisis de cambios y visibilidad completa de la infraestructura. Su objetivo es ofrecer una detección eficaz de amenazas, respuesta rápida ante incidentes, capacidades de remediación y generación de informes detallados sobre la actividad del entorno.
Identificada como CVE-2025-25256, esta falla permite que atacantes remotos y no autenticados lleven a cabo una inyeccion de comandos del sistema operativo a través de solicitudes CLI diseñadas, lo que, en el peor de los casos, podria otorgarles control total del sistema.
Se ha observado que, de momento, el código utilizado para explotar la vulnerabilidad no deja rastros claros que permitan una fácil identificación mediante indicadores de compromiso. Este hallazgo coincide con una reciente advertencia de expertos en ciberseguridad sobre un incremento notable en los intentos de fuerza bruta contra dispositivos Fortinet SSL VPN desde múltiples direcciones IP ubicadas en países como Estados Unidos, Canadá, Rusia y Países Bajos, dirigidas a diferentes objetivos alrededor del mundo.
Fortinet ha publicado parches para las versiones afectadas pero también recomienda que las organizaciones limiten el acceso al puerto phMonitor (7900) como medida termporal.
Versiones Afectadas
|
Versiones afectadas |
Versiones parcheadas |
|
FortiSIEM versión 5.4 a 6.6 |
Migrar a una versión parcheada |
|
FortiSIEM versión 6.7.0 a 6.7.9 |
FortiSIEM versión 6.7.10 o posteriores |
|
FortiSIEM versión 7.0.0 a 7.0.3 |
FortiSIEM versión 7.0.4 o posteriores |
|
FortiSIEM versión 7.1.0 a 7.1.7 |
FortiSIEM versión 7.1.8 o posteriores |
|
FortiSIEM versión 7.2.0 a 7.2.5 |
FortiSIEM versión 7.2.6 o posteriores |
|
FortiSIEM versión 7.3.0 a 7.3.1 |
FortiSIEM versión 7.3.2 o posteriores |
Recomendaciones
- Si cuenta con alguna versión FortiSIEM de las siguientes:
- Migre FortiSIEM versión 5.4 a 6.6 a alguna versión parcheada mencionada posteriormente.
- Actualice FortiSIEM versión 6.7.0 a 6.7.9 a FortiSIEM versión 6.7.10 o posteriores.
- Actualice FortiSIEM versión 7.0.0 a 7.0.3 a FortiSIEM versión 7.0.4 o posteriores.
- Actualice FortiSIEM versión 7.1.0 a 7.1.7 a FortiSIEM versión 7.1.8 o posteriores.
- Actualice FortiSIEM versión 7.2.0 a 7.2.5 a FortiSIEM versión 7.2.6 o posteriores.
- Actualice FortiSIEM versión 7.3.0 a 7.3.1 a FortiSIEM versión 7.3.2 o posteriores.
-
Limitar el acceso al puerto phMonitor (7900) como medida temporal.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para detectar ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Fortinet. (2025, Agosto 12). Remote unauthenticated command injection. FortiGuard Labs. Recuperado el 13 de Agosto de 2025, en: https://fortiguard.fortinet.com/psirt/FG-IR-25-152
- Lakshmanan. (2025, Agosto 13). Fortinet Warns About FortiSIEM Vulnerability (CVE-2025-25256) With In-the-Wild Exploit Code. Recuperado el 13 de Agosto de 2025, en: https://thehackernews.com/2025/08/fortinet-warns-about-fortisiem.html
- Kovacs, E. (2025, Agosto 13). Fortinet, Ivanti Release August 2025 Security Patches. Recuperado el 13 de Agosto de 2025, en: https://www.securityweek.com/fortinet-ivanti-release-august-2025-security-patches/
- Schirrmacher, D. (2025, Agosto 13). Patchday Fortinet. Heise. Recuperado el 13 de Agosto de 2025, en: https://www.heise.de/en/news/Patchday-Fortinet-Unauthorized-access-to-firewalls-possible-10520334.html
- Gomez, P. (2023, Febrero 14). FortiSIEM. Ventajas de su implementación en la empresa. ICM. Recuperado el 13 de Agosto de 2025, en: https://www.icm.es/2023/02/14/fortisiem-ventajas-de-su-implementacion-en-la-empresa/
