Fortinet publicó parches para una vulnerabilidad crítica en su sistema de gestión de eventos y seguridad FortiSIEM (identificada como CVE-2025-64155) que podría haber permitido a atacantes acceder y ejecutar código malicioso sin necesidad de autenticarse previamente.

La falla se clasifica como crítica y tiene un puntaje alto en las métricas de riesgo (CVSS 9.4), lo que significa que un atacante con acceso a la red podría ejecutar comandos maliciosos remotamente, tomar control del sistema y causar daños o interrupciones en entornos que utilicen FortiSIEM.

FortiSIEM es una plataforma usada por organizaciones para supervisar eventos de seguridad, detectar amenazas y coordinar respuestas. Dado que este tipo de sistema tiene acceso a datos sensibles sobre la seguridad de una red, su compromiso puede representar un riesgo grave para cualquier organización que lo utilice.

¿Qué causaba la falla?

La vulnerabilidad se debe a dos fallos encadenados en FortiSIEM que, combinados, permiten a un atacante tomar control completo del sistema afectado.

En primer lugar, existía una vulnerabilidad de inyección de argumentos sin autenticación. Esto significa que un atacante con acceso a la red podía enviar solicitudes especialmente diseñadas a un servicio interno de FortiSIEM (phMonitor), sin necesidad de usuario ni contraseña. Como resultado, era posible escribir archivos arbitrarios en el sistema y lograr ejecución remota de código con privilegios de administrador.

En segundo lugar, una vez logrado ese acceso inicial, el atacante podía aprovechar una falla de sobreescritura de archivos para elevar privilegios, pasando del usuario administrador al usuario root. Esto le otorgaba control total del sistema operativo, con capacidad para modificar configuraciones críticas, instalar malware o persistir en el entorno.

¿Qué versiones estaban afectadas?

Estaban en riesgo varias versiones de FortiSIEM anteriores a las actualizaciones, incluyendo:

  • FortiSIEM 6.7.x
  • FortiSIEM 7.0.x
  • FortiSIEM 7.1.x
  • FortiSIEM 7.2.x
  • FortiSIEM 7.3.x
  • FortiSIEM 7.4.0

Las versiones más recientes y la edición Cloud no se ven afectadas.

Recomendaciones para protegerse

Fortinet y los investigadores que reportaron el problema señalan como medidas esenciales:

  • Aplicar cuanto antes las actualizaciones oficiales a las versiones corregidas de FortiSIEM.
  • Limitar el acceso de red al servicio afectado, especialmente el puerto utilizado por phMonitor (TCP 7900).

Fortinet reconoció a los investigadores de Horizon3.ai por detectar y reportar la falla responsablemente en agosto de 2025, antes de que se conocieran públicamente los detalles.

Fuente

https://thehackernews.com/2026/01/fortinet-fixes-critical-fortisiem-flaw.html

https://www.fortiguard.com/psirt/FG-IR-25-772

https://horizon3.ai/attack-research/disclosures/cve-2025-64155-three-years-of-remotely-rooting-the-fortinet-fortisiem/