Fortinet risolve falla critica in FortiSIEM: aggiornamenti urgenti per evitare attacchi

Una falla di sicurezza critica recentemente è stata corretta da Fortinet mediante rilasci di aggiornamenti, tale vulnerabilità aveva un impatto significativo su FortiSIEM. Un utente malintenzionato non autenticato avrebbe potuto approfittare di questa debolezza per eseguire codice arbitrario su istanze vulnerabili.

Il sistema operativo presenta una falla di sicurezza, etichettata come CVE-2025-64155, che secondo la scala di valutazione CVSS ha un livello di gravità di 9,4 su 10,0.

Nello specifico, il problema riguarda il modo in cui il servizio phMonitor di FortiSIEM , un processo backend cruciale responsabile del monitoraggio dello stato, della distribuzione delle attività e della comunicazione tra nodi tramite la porta TCP 7900, gestisce le richieste in arrivo relative alla registrazione degli eventi di sicurezza su Elasticsearch.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La limitata scrittura di file può essere manipolata per acquisire il controllo totale del sistema, attraverso l’iniezione di argomenti curl che permettono di creare una shell inversa nel file “/opt/charting/redishb.sh”. Quest’ultimo, essendo un file modificabile da un utente con privilegi amministrativi e soggetto a esecuzione ogni minuto tramite un job cron eseguito con diritti di root, si presta ad essere sfruttato per tale scopo.

In altre parole, la scrittura di una reverse shell in questo file consente l’escalation dei privilegi da amministratore a root, garantendo all’aggressore accesso illimitato all’appliance FortiSIEM. L’aspetto più importante dell’attacco è che il servizio phMonitor espone diversi gestori di comandi che non richiedono autenticazione. Ciò semplifica l’accesso a queste funzioni da parte di un aggressore, semplicemente ottenendo l’accesso di rete alla porta 7900.

La scoperta è stata effettuata da Zach Hanley, ricercatore di sicurezza di Horizon3.ai, a cui è attribuita la scoperta e la segnalazione del difetto il 14 agosto 2025.

Fortinet ha affermato che la vulnerabilità riguarda solo i nodi Super e Worker e che è stata risolta nelle seguenti versioni:

• FortiSIEM 6.7.0 tramite 6.7.10 (migrazione a una versione corretta)
• FortiSIEM 7.0.0 tramite 7.0.4 (migrazione a una versione corretta)
• FortiSIEM da 7.1.0 a 7.1.8 (aggiornamento a 7.1.9 o versione successiva)
• FortiSIEM da 7.2.0 a 7.2.6 (aggiornamento a 7.2.7 o versione successiva)
• FortiSIEM da 7.3.0 a 7.3.4 (aggiornamento a 7.3.5 o versione successiva)
• FortiSIEM 7.4.0 (Aggiornamento a 7.4.1 o versione successiva)
• FortiSIEM 7.5 (non interessato)
• FortiSIEM Cloud (non interessato)

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.