Una vulnerabilidad de seguridad crítica en la plataforma Fortinet Fortisiem que permite a los atacantes no autenticados ejecutar comandos arbitrarios de forma remota.
La vulnerabilidad CVE-2025-25256, clasificada como CWE-78 (inyección de comando OS), ha sido explotada activamente en la naturaleza con un código de explotación práctico que ya circula entre los actores de amenazas.
Control de llave
1. Flaw crítico de Fortisiem explotado activamente con POC en la naturaleza.
2. Objetivos Portes Phmonitor 7900; Sin COI claros.
3. Actualice a versiones parcheadas o migra.
Vulnerabilidad de Fortisiem
La vulnerabilidad proviene de la neutralización inadecuada de elementos especiales utilizados en los comandos del sistema operativo dentro de la arquitectura de Fortisiem.
Específicamente, la falla permite la inyección de comando remota no autenticada a través de solicitudes de interfaz de línea de comandos diseñadas (CLI) que se dirigen al sistema.
Esto representa un riesgo de seguridad severo ya que los atacantes pueden pasar por alto los mecanismos de autenticación por completo y ejecutar código o comandos no autorizados en sistemas vulnerables.
El exploit aprovecha el puerto fmmonitor 7900, que sirve como el vector de ataque principal para los actores maliciosos.
Los investigadores de seguridad han confirmado que se descubrió un código de exploit práctico para esta vulnerabilidad en el uso activo, lo que indica que los actores de amenaza ya están armando este defecto contra los objetivos del mundo real.
Según los informes, el código de explotación no produce indicadores distintivos de compromiso (COI), lo que hace que la detección sea particularmente desafiante para los equipos de seguridad.
La vulnerabilidad impacta múltiples versiones de Fortisiem en varios lanzamientos importantes. Las organizaciones que ejecutan las versiones de Fortisiem 6.1 a 6.6 enfrentan el mayor riesgo, ya que estas versiones requieren una migración completa a lanzamientos fijos en lugar de simples actualizaciones.
Factores de riesgo Los productos afectados por DetElaTisiem 7.3.0–7.3.1, 7.2.0–7.2.5, 7.1.0–7.1.7, 7.0.0–7.0.3, 6.7.0–6.7.7.9, todas las versiones de 6.6, 6.5, 6.4, 6.3, 6.2, 6.1 y 5.4 Implacación de la ejecución del comando de la ejecución de la ejecución de la reducción de las redes de transferencia a la reducción de la redes de la red. 7900; No se requiere autenticación CUTRIMIENTO DEL PRESENTA CVSS 3.1 (CRÍTICO)
Parche disponible
Para versiones más nuevas, están disponibles rutas de actualización específicas: los usuarios de Fortisiem 7.3 deben actualizarse a la versión 7.3.2 o superior, mientras que los usuarios de la versión 7.2 deben actualizarse a 7.2.6 o más.
Del mismo modo, Fortisiem 7.1 requiere la actualización a 7.1.8 o superior, y la versión 7.0 necesita actualización a 7.0.4 o más nuevo.
Los usuarios de Fortisiem 6.7 pueden actualizar a la versión 6.7.10 o superior para abordar la vulnerabilidad. En particular, Fortisiem 7.4 no se ve afectado por este defecto de seguridad.
Versiones parcheadas
Como una solución inmediata, Fortinet recomienda limitar el acceso al puerto de fmmonitor 7900 para reducir la exposición hasta que se puedan implementar parches adecuados.
El consultivo Se publicó inicialmente el 12 de agosto de 2025, enfatizando la urgencia para que las organizaciones evalúen sus implementaciones de Fortisiem e implementen medidas de remediación apropiadas de inmediato.
Dada la explotación activa y la disponibilidad del código de exploit de trabajo, los equipos de seguridad deben priorizar esta vulnerabilidad en sus horarios de parches.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
