Estamos cientes que a Fortinet emitiu um alerta sobre uma vulnerabilidade de gravidade crítica que afeta seu produto FortiSIEM. A falha foi catalogada como a vulnerabilidade CVE-2025-25256, e permite que um invasor não autenticado execute comandos remotamente no sistema operacional dos dispositivos afetados.
A vulnerabilidade recebeu uma pontuação CVSS de 9.8, refletindo seu potencial de impacto máximo. A exploração bem-sucedida pode resultar no comprometimento total do equipamento, permitindo que o invasor execute código arbitrário com privilégios elevados.
Apesar da Fortinet não haver especificados indicadores de comprometimento (IoCs), temos a confirmação de que já existe pelo menos um código de exploit funcional para esta falha, o que significa que ataques ativos estão em andamento. Isso eleva drasticamente a urgência para a aplicação das devidas correções.
Detalhes Técnicos da Vulnerabilidade
- Causa Raiz: A falha reside em uma vulnerabilidade de injeção de comando no sistema operacional, que pode ser acionada por meio de solicitações CLI (Interface de Linha de Comando) especialmente criadas para esse fim.
- Vetor de Ataque: O ataque pode ser realizado remotamente, sem a necessidade de qualquer tipo de autenticação prévia, tornando qualquer sistema vulnerável exposto à internet um alvo fácil.
- Impacto: A exploração permite a Execução Remota de Código (RCE), dando ao atacante controle total sobre o sistema FortiSIEM.
Versões Afetadas
A vulnerabilidade impacta muitas versões do FortiSIEM. As organizações que utilizam as seguintes versões devem tomar ações imediatas:
| Version | Affected | Solution |
|---|---|---|
| FortiSIEM 7.4 | Not affected | Not Applicable |
| FortiSIEM 7.3 | 7.3.0 through 7.3.1 | Upgrade to 7.3.2 or above |
| FortiSIEM 7.2 | 7.2.0 through 7.2.5 | Upgrade to 7.2.6 or above |
| FortiSIEM 7.1 | 7.1.0 through 7.1.7 | Upgrade to 7.1.8 or above |
| FortiSIEM 7.0 | 7.0.0 through 7.0.3 | Upgrade to 7.0.4 or above |
| FortiSIEM 6.7 | 6.7.0 through 6.7.9 | Upgrade to 6.7.10 or above |
| FortiSIEM 6.6 | 6.6 all versions | Migrate to a fixed release |
| FortiSIEM 6.5 | 6.5 all versions | Migrate to a fixed release |
| FortiSIEM 6.4 | 6.4 all versions | Migrate to a fixed release |
| FortiSIEM 6.3 | 6.3 all versions | Migrate to a fixed release |
| FortiSIEM 6.2 | 6.2 all versions | Migrate to a fixed release |
| FortiSIEM 6.1 | 6.1 all versions | Migrate to a fixed release |
| FortiSIEM 5.4 | 5.4 all versions | Migrate to a fixed release |
Recomendações e Mitigação
A recomendação principal e mais eficaz é a atualização imediata dos sistemas para as versões corrigidas disponibilizadas pela Fortinet.
Para ambientes onde a aplicação do patch não pode ser realizada imediatamente, a Fortinet sugere uma mitigação temporária: restringir o acesso à porta 7900 (phMonitor) do FortiSIEM, limitando a exposição a redes confiáveis e bloqueando o acesso externo.
Dada a existência de um exploit ativo, a inação não é uma opção. Recomenda-se que todos os administradores de sistemas Fortinet validem suas versões e apliquem os patches de segurança com a máxima prioridade para proteger seus ativos contra comprometimento.
Referências:
fortiguard.fortinet.com: https://fortiguard.fortinet.com/psirt/FG-IR-25-152
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.