CRISIS EN EL SIEM: FORTINET PARCHEA FALLO CRÍTICO DE RCE Y ESCALADA A ROOT EN FORTISIEM (CVE-2025-64155)

Fecha: 26 de enero de 2026



Nivel de Impacto: Crítico



Fortinet ha reportado una vulnerabilidad crítica (CVSS 9.4) que afecta la infraestructura de FortiSIEM. Este fallo permite a un atacante remoto sin credenciales ejecutar comandos y obtener privilegios de Root, lo que pone en riesgo la integridad de todos los logs y la red monitoreada.

Detalles del Ataque (Cadena de Explotación)

El ataque aprovecha el puerto TCP 7900 y el servicio phMonitor mediante dos pasos técnicos:

  1. Escritura de Archivos: El atacante inyecta argumentos en el comando curl utilizado por un script interno, logrando crear o modificar archivos con permisos de administrador.
  2. Escalada a Root: Se sobrescribe el script /opt/charting/redishb.sh, el cual es ejecutado automáticamente cada minuto por el sistema (vía cron) con los máximos privilegios, permitiendo al atacante tomar control total del servidor.

Versiones Afectadas y Soluciones

Se recomienda actualizar de forma inmediata según la versión que esté ejecutando su organización:

  • Si utiliza versiones 6.7.0 a 6.7.10 o 7.0.0 a 7.0.4: Debe migrar obligatoriamente a una versión corregida (se recomienda la rama 7.x).
  • Si utiliza versiones 7.1.0 a 7.1.8: Debe actualizar a la versión 7.1.9 o superior.
  • Si utiliza versiones 7.2.0 a 7.2.6: Debe actualizar a la versión 7.2.7 o superior.
  • Si utiliza versiones 7.3.0 a 7.3.4: Debe actualizar a la versión 7.3.5 o superior.
  • Si utiliza la versión 7.4.0: Debe actualizar a la versión 7.4.1 o superior.

Nota importante: Las versiones 7.5 y FortiSIEM Cloud están protegidas y no requieren acción.

Impacto y Mitigación de Emergencia

El riesgo es crítico debido a que el puerto afectado no requiere autenticación para recibir comandos maliciosos.

  • Riesgos: Compromiso total del SIEM, borrado de evidencia forense (logs) y movimiento lateral del atacante hacia otros servidores.
  • Medida inmediata: Además de la actualización, restrinja mediante firewall el acceso al puerto 7900, permitiendo únicamente la comunicación entre los nodos Super, Worker y Collector de su propia infraestructura.

Referencias:


CVE-2025-64155 / CWE-78 (OS Command Injection)

Estadísticas de Incidentes

Diciembre 2025

VER TODAS

Boletines de Seguridad
Crítico
CRISIS EN EL SIEM: FORTINET PARCHEA FALLO CRÍTICO DE RCE Y ESCALADA A ROOT EN FORTISIEM (CVE-2025-64155)

Fortinet ha reportado una vulnerabilidad crítica (CVSS 9.4) que afecta la infraestructura de FortiSIEM. Este fallo permite a un atacante remoto sin credenciales ejecutar comandos y obtener privilegios de Root, lo que pone en riesgo la integridad de t

Crítico
MÁXIMA ALERTA: CISCO PARCHEA 0-DAY (CVSS 10.0) EXPLOTADO POR APT CHINA EN SECURE EMAIL GATEWAY

Cisco ha lanzado parches críticos para corregir una vulnerabilidad de día cero en Cisco Secure Email Gateway (SEG) y Secure Email and Web Manager. La falla, identificada como CVE-2025-20393, permite la ejecución remota de comandos (RCE) con privilegi

VER TODOS