top of page

Falha crítica no FortiSIEM permite ataque de RCE

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 1 hora
  • 4 min de leitura

A Fortinet publicou atualizações de segurança para corrigir uma vulnerabilidade crítica no FortiSIEM que poderia permitir a execução remota de código por um hacker sem necessidade de autenticação. A falha, identificada como CVE-2025-64155, recebeu pontuação 9,4/10 no CVSS, indicando alto impacto e facilidade de exploração em ambientes vulneráveis.


Segundo a empresa, trata-se de uma vulnerabilidade de injeção de comandos no sistema operacional (OS Command Injection – CWE-78), causada pela neutralização inadequada de caracteres especiais utilizados em comandos do sistema. O problema afeta exclusivamente os nós Super e Worker do FortiSIEM e pode ser explorado por meio de requisições TCP especialmente construídas, resultando na execução de comandos não autorizados no appliance.


Versões afetadas e correções


A Fortinet informou que o problema foi corrigido nas versões mais recentes e recomenda migração ou atualização imediata conforme o cenário abaixo:


  • FortiSIEM 6.7.0 a 6.7.10 – migrar para uma versão corrigida

  • FortiSIEM 7.0.0 a 7.0.4 – migrar para uma versão corrigida

  • FortiSIEM 7.1.0 a 7.1.8 – atualizar para 7.1.9 ou superior

  • FortiSIEM 7.2.0 a 7.2.6 – atualizar para 7.2.7 ou superior

  • FortiSIEM 7.3.0 a 7.3.4 – atualizar para 7.3.5 ou superior

  • FortiSIEM 7.4.0 – atualizar para 7.4.1 ou superior

  • FortiSIEM 7.5 – não afetado

  • FortiSIEM Cloud – não afetado


Detalhes técnicos do ataque


A falha foi descoberta e reportada em agosto de 2025 pelo Pesquisador Zach Hanley, da Horizon3.ai. De acordo com a análise técnica, a exploração envolve duas etapas principais:


Injeção de argumentos sem autenticação, que permite escrita arbitrária de arquivos e resulta em execução remota de código com privilégios de administrador.


Escalada de privilégios, em que a sobrescrita de arquivos leva à execução de código como root, comprometendo totalmente o appliance.


O ponto central do problema está no serviço phMonitor, um processo backend crítico do FortiSIEM responsável por monitoramento de saúde, distribuição de tarefas e comunicação entre nós via porta TCP 7900. Esse serviço expõe diversos manipuladores de comandos sem exigir autenticação e processa requisições relacionadas ao envio de logs para o Elasticsearch.


Ao invocar um script de shell com parâmetros controlados pelo invasor, o serviço abre caminho para injeção de argumentos via curl, permitindo a gravação arbitrária de arquivos no disco. Um hacker pode explorar esse comportamento para gravar um shell reverso no arquivo /opt/charting/redishb.sh, que é executado automaticamente a cada minuto por um cron job com privilégios de root. Com isso, ocorre a escalada de privilégios de administrador para root, garantindo controle total do sistema.


Outra falha crítica corrigida


Além do FortiSIEM, a Fortinet também corrigiu uma vulnerabilidade crítica no FortiFone (CVE-2025-47855, CVSS 9,3). Essa falha permite que um hacker obtenha a configuração do dispositivo por meio de uma requisição HTTP(S) especialmente construída ao portal web.


Versões afetadas do FortiFone:


  • 3.0.13 a 3.0.23 – atualizar para 3.0.24 ou superior

  • 7.0.0 a 7.0.1 – atualizar para 7.0.2 ou superior

  • 7.2 – não afetado


Recomendações


A Fortinet orienta que todos os clientes atualizem imediatamente seus ambientes para as versões corrigidas. Como medida temporária para o CVE-2025-64155, a empresa recomenda restringir o acesso à porta TCP 7900, reduzindo a superfície de ataque até a aplicação do patch definitivo.A Fortinet publicou atualizações de segurança para corrigir uma vulnerabilidade crítica no FortiSIEM que poderia permitir a execução remota de código por um hacker sem necessidade de autenticação. A falha, identificada como CVE-2025-64155, recebeu pontuação 9,4/10 no CVSS, indicando alto impacto e facilidade de exploração em ambientes vulneráveis.


Segundo a empresa, trata-se de uma vulnerabilidade de injeção de comandos no sistema operacional (OS Command Injection – CWE-78), causada pela neutralização inadequada de caracteres especiais utilizados em comandos do sistema. O problema afeta exclusivamente os nós Super e Worker do FortiSIEM e pode ser explorado por meio de requisições TCP especialmente construídas, resultando na execução de comandos não autorizados no appliance.


Versões afetadas e correções


A Fortinet informou que o problema foi corrigido nas versões mais recentes e recomenda migração ou atualização imediata conforme o cenário abaixo:


  • FortiSIEM 6.7.0 a 6.7.10 – migrar para uma versão corrigida

  • FortiSIEM 7.0.0 a 7.0.4 – migrar para uma versão corrigida

  • FortiSIEM 7.1.0 a 7.1.8 – atualizar para 7.1.9 ou superior

  • FortiSIEM 7.2.0 a 7.2.6 – atualizar para 7.2.7 ou superior

  • FortiSIEM 7.3.0 a 7.3.4 – atualizar para 7.3.5 ou superior

  • FortiSIEM 7.4.0 – atualizar para 7.4.1 ou superior

  • FortiSIEM 7.5 – não afetado

  • FortiSIEM Cloud – não afetado


Detalhes técnicos do ataque


A falha foi descoberta e reportada em agosto de 2025 pelo Pesquisador Zach Hanley, da Horizon3.ai. De acordo com a análise técnica, a exploração envolve duas etapas principais:


Injeção de argumentos sem autenticação, que permite escrita arbitrária de arquivos e resulta em execução remota de código com privilégios de administrador.


Escalada de privilégios, em que a sobrescrita de arquivos leva à execução de código como root, comprometendo totalmente o appliance.


O ponto central do problema está no serviço phMonitor, um processo backend crítico do FortiSIEM responsável por monitoramento de saúde, distribuição de tarefas e comunicação entre nós via porta TCP 7900. Esse serviço expõe diversos manipuladores de comandos sem exigir autenticação e processa requisições relacionadas ao envio de logs para o Elasticsearch.


Ao invocar um script de shell com parâmetros controlados pelo invasor, o serviço abre caminho para injeção de argumentos via curl, permitindo a gravação arbitrária de arquivos no disco. Um hacker pode explorar esse comportamento para gravar um shell reverso no arquivo /opt/charting/redishb.sh, que é executado automaticamente a cada minuto por um cron job com privilégios de root. Com isso, ocorre a escalada de privilégios de administrador para root, garantindo controle total do sistema.


Outra falha crítica corrigida


Além do FortiSIEM, a Fortinet também corrigiu uma vulnerabilidade crítica no FortiFone (CVE-2025-47855, CVSS 9,3). Essa falha permite que um hacker obtenha a configuração do dispositivo por meio de uma requisição HTTP(S) especialmente construída ao portal web.


Versões afetadas do FortiFone:


  • 3.0.13 a 3.0.23 – atualizar para 3.0.24 ou superior

  • 7.0.0 a 7.0.1 – atualizar para 7.0.2 ou superior

  • 7.2 – não afetado


Recomendações


A Fortinet orienta que todos os clientes atualizem imediatamente seus ambientes para as versões corrigidas. Como medida temporária para o CVE-2025-64155, a empresa recomenda restringir o acesso à porta TCP 7900, reduzindo a superfície de ataque até a aplicação do patch definitivo.

 
 
 

Comentários

Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page