VENCERT // SISTEMA NACIONAL DE GESTIÓN DE INCIDENTES TELEMÁTICOS
incidentes.vencert@suscerte.gob.ve
Boletín N° 1 2026

ALERTA MÁXIMA DE FORTINET: CONTROL TOTAL Y EXFILTRACIÓN DE DATOS EN FORTISIEM Y FORTIFONE (INCIBE-2026-025)

April 30, 2026

Inicio / VENCERT / Boletines de Seguridad / ALERTA MÁXIMA DE FORTINET: CONTROL TOTAL Y EXFILTRACIÓN DE DATOS EN FORTISIEM Y FORTIFONE (INCIBE-2026-025)

Resumen

El Instituto Nacional de Ciberseguridad (INCIBE) y Fortinet han emitido un aviso de importancia crítica (5/5) que afecta a las soluciones de gestión de eventos (FortiSIEM) y (FortiFone). Se han identificado fallos que permiten la ejecuci

Contenido

El Instituto Nacional de Ciberseguridad (INCIBE) y Fortinet han emitido un aviso de importancia crítica (5/5) que afecta a las soluciones de gestión de eventos (FortiSIEM) y telefonía IP (FortiFone). Se han identificado fallos que permiten la ejecución remota de comandos (RCE) sin autenticación y la exposición de información sensible, lo que otorga a un atacante el control administrativo total del sistema.

Análisis de los Riesgos Críticos

1. Escalada a Root en FortiSIEM (CVE-2025-64155)

Esta vulnerabilidad de inyección de comandos en el SO es una de las más peligrosas reportadas recientemente.

  • El Vector: Un atacante envía solicitudes TCP manipuladas al servicio phMonitor.
  • El Impacto: Permite ejecutar código con privilegios de administrador y, posteriormente, escalar a privilegios de root.
  • Nodos Afectados: El riesgo reside únicamente en los nodos Super y Worker. Los nodos Collector no están afectados por esta vulnerabilidad.

2. Exposición de Configuración en FortiFone (CVE-2025-47855)

El portal web de FortiFone presenta una falla de seguridad grave en el manejo de solicitudes HTTP/HTTPS.

  • El Problema: Un atacante no autenticado puede extraer archivos de configuración del dispositivo.
  • El Riesgo: Estos archivos suelen contener credenciales, rutas de red y otros datos confidenciales que facilitan ataques de interceptación de llamadas o acceso a la red interna.

Productos y Versiones Afectadas

Producto

Versiones Vulnerables

Versión Corregida (o superior)

FortiSIEM 7.4

7.4.0

7.4.1

FortiSIEM 7.3

7.3.0 a 7.3.4

7.3.5

FortiSIEM 7.2

7.2.0 a 7.2.6

7.2.7

FortiSIEM 7.1

7.1.0 a 7.1.8

7.1.9

FortiSIEM 6.7 / 7.0

Varias

Migrar a versión con solución

FortiFone 7.0

7.0.0 a 7.0.1

7.0.2

FortiFone 3.0

3.0.13 a 3.0.23

3.0.24

Medidas de Mitigación y Contingencia

Dada la severidad del aviso, se recomiendan las siguientes acciones de inmediato:

  1. Actualización Urgente: Aplicar los parches de seguridad mencionados en la tabla anterior.
  2. Mitigación de Red (Workaround): Para FortiSIEM, si la actualización no es inmediata, se debe limitar el acceso al puerto 7900 (phMonitor) mediante un firewall, permitiendo el tráfico solo desde direcciones IP internas confiables.
  3. Auditoría de Logs: Revisar cualquier solicitud TCP inusual dirigida a los servicios de monitoreo de Fortinet.