Los investigadores de ciberseguridad de WatchToWr Labs han publicado un análisis técnico integral de una vulnerabilidad de inyección de comandos de preautenticación crítica que afecta a los sistemas Fortinet Fortisiem, designado como CVE-2025-25256.
La vulnerabilidad tiene un puntaje CVSS máximo de 9.8 y ya ha sido explotado en la naturaleza, lo que lo convierte en una de las amenazas de seguridad más apremiantes que enfrentan los centros de operaciones de seguridad empresariales.
CVE-2025-25256 representa una neutralización inadecuada de elementos especiales utilizados en la inyección de comando OS, clasificados bajo CWE-78.
El defecto permite a los atacantes remotos no autenticados ejecutar código o comandos arbitrarios en instancias vulnerables de Fortisiem a través de solicitudes de interfaz de línea de comandos especialmente diseñadas, que no requieren interacción de usuario para una explotación exitosa.
La vulnerabilidad se dirige específicamente al servicio de fmmonitor que se ejecuta en el puerto TCP 7900, que es responsable de monitorear la salud de los procesos de Fortisiem y distribuir tareas entre varios componentes del sistema.
Este servicio funciona como un binario C ++ que escucha en el puerto 7900, utilizando un protocolo RPC personalizado envuelto en el cifrado TLS.
Análisis técnico y causa raíz
Según el análisis detallado de WatchTower Labs, la vulnerabilidad proviene de la desinfección inadecuada de entrada dentro de la función HandlestoraGearchiveRequest del proceso de fmmonitor.
Los investigadores realizaron análisis de difusión de parches entre las versiones de Fortisiem 7.3.1 y 7.3.2 para identificar la naturaleza exacta de la falla de seguridad.
La causa raíz se encuentra en la dependencia previa de Fortinet en la función shellcmd :: addparasafe para desinfectar entradas controladas por el usuario. Esta función realizó una validación insuficiente, simplemente escapó de citas para evitar que los aportes se rompan de las cuerdas literales circundantes, una defensa débil contra los ataques de inyección de comandos.
En la versión parchada, Fortinet reemplazó esta función con dos funciones más específicas y seguras: shellcmd :: addhostNameOripparam y shellcmd :: addDiskPathParam.
La vulnerabilidad se puede activar enviando cargas de XML maliciosas al servicio de fmmonitor. El ataque requiere que se cumplan condiciones específicas, incluido el sistema que se ejecuta en el modo supervisor o trabajador, con el parámetro de tipo de almacenamiento establecido en “NFS” en lugar de “HDFS”.
Una exploit exitosa implica elaborar una carga útil XML que contenga contenido malicioso en el parámetro Archive_NFS_ARCHIVE_DIR. Por ejemplo, el toque de carga útil $ {ifs}/tmp/boom ejecutaría un comando para crear un archivo en el directorio/tmp.
La estructura de comando subyacente ejecutada por el sistema sigue este patrón:
text/opt/phoenix/implementment/jumpbox/dataStore.py nfs test (server_ip) (directorio_path) Archivo
La vulnerabilidad impacta una amplia gama de versiones de Fortisiem, incluidos los sistemas heredados que ya no reciben actualizaciones de seguridad:
VersionAffected RangerComended ActionFortisiem 5.4TALLS VersionsMigrate a la versión compatible de la liberación 6.1-6.6 VersionsMigrate a la liberación compatible 6.76.7.0 a 6.7.9Upgrade a 6.7.10 o por encima de la forta 7.07.0.0 a través de 7.0.3Upgrade a 7.0.4 o por encima de los 7.17.17.1.1.1.1. 7.1.8 o por encima de Fortisiem 7.27.2.0 a 7.2.5Upgrade a 7.2.6 o por encima de Fortisiem 7.37.
Para las organizaciones que no pueden implementar parches de inmediato, Fortinet recomienda restringir el acceso al puerto fmmonitor (TCP 7900) solo a anfitriones internos de confianza.
Uno de los aspectos más preocupantes de esta vulnerabilidad es que los intentos de explotación no producen indicadores distintivos de compromiso, lo que hace que la detección sea extremadamente desafiante para los equipos de seguridad. Esta característica complica significativamente los esfuerzos de respuesta a incidentes y el análisis forense.
La comunidad de ciberseguridad ha respondido rápidamente a esta amenaza. WatchToWr Labs tiene publicado Un generador de artefactos de detección en GitHub para ayudar a los equipos de seguridad a identificar posibles intentos de explotación.
Múltiples proveedores de seguridad y agencias gubernamentales, incluido el Centro Canadiense de Seguridad Cibernética y CERT-UE, han emitido advertencias urgentes sobre la explotación activa de esta vulnerabilidad.
La divulgación de CVE-2025-25256 ocurre en un contexto de mayor focalización de la infraestructura de Fortinet.
Los investigadores de seguridad han notado una correlación entre la divulgación de la vulnerabilidad y un aumento reciente en los ataques de fuerza bruta dirigida a dispositivos VPN Fortinet SSL, lo que sugiere actividades de reconocimiento coordinadas por parte de los actores de amenazas.
Los profesionales de la seguridad deben tratar esta vulnerabilidad como una emergencia crítica que requiere atención inmediata. Las organizaciones que operan las implementaciones de Fortisiem deben priorizar la actualización a las últimas versiones parcheadas apropiadas para su sucursal. Para los sistemas que ejecutan versiones heredadas no compatibles, la migración a las versiones más recientes y compatibles es esencial.
Como medida de mitigación temporal, los administradores deben implementar controles de acceso estrictos en el puerto TCP 7900, lo que limita las conexiones solo a sistemas internos esenciales.
Además, las organizaciones deben monitorear sus entornos para cualquier actividad sospechosa que pueda indicar una explotación exitosa, a pesar de la falta de indicadores distintivos de compromiso.
La rápida arma de esta vulnerabilidad subraya el panorama de amenazas en evolución, donde los atacantes pueden desarrollar e implementar exploits más rápido que los procesos de gestión de vulnerabilidad tradicionales pueden responder, lo que hace que las medidas de seguridad proactivas y el despliegue de parches rápidos sean más críticos que nunca.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
