Fortinet risolve falla critica in FortiSIEM: aggiornamenti urgenti per evitare attacchi

Una falla di sicurezza critica recentemente è stata corretta da Fortinet mediante rilasci di aggiornamenti, tale vulnerabilità aveva un impatto significativo su FortiSIEM. Un utente malintenzionato non autenticato avrebbe potuto approfittare di questa debolezza per eseguire codice arbitrario su istanze vulnerabili.

Il sistema operativo presenta una falla di sicurezza, etichettata come CVE-2025-64155, che secondo la scala di valutazione CVSS ha un livello di gravità di 9,4 su 10,0.

Nello specifico, il problema riguarda il modo in cui il servizio phMonitor di FortiSIEM , un processo backend cruciale responsabile del monitoraggio dello stato, della distribuzione delle attività e della comunicazione tra nodi tramite la porta TCP 7900, gestisce le richieste in arrivo relative alla registrazione degli eventi di sicurezza su Elasticsearch.

La limitata scrittura di file può essere manipolata per acquisire il controllo totale del sistema, attraverso l’iniezione di argomenti curl che permettono di creare una shell inversa nel file “/opt/charting/redishb.sh”. Quest’ultimo, essendo un file modificabile da un utente con privilegi amministrativi e soggetto a esecuzione ogni minuto tramite un job cron eseguito con diritti di root, si presta ad essere sfruttato per tale scopo.

In altre parole, la scrittura di una reverse shell in questo file consente l’escalation dei privilegi da amministratore a root, garantendo all’aggressore accesso illimitato all’appliance FortiSIEM. L’aspetto più importante dell’attacco è che il servizio phMonitor espone diversi gestori di comandi che non richiedono autenticazione. Ciò semplifica l’accesso a queste funzioni da parte di un aggressore, semplicemente ottenendo l’accesso di rete alla porta 7900.

La scoperta è stata effettuata da Zach Hanley, ricercatore di sicurezza di Horizon3.ai, a cui è attribuita la scoperta e la segnalazione del difetto il 14 agosto 2025.

Fortinet ha affermato che la vulnerabilità riguarda solo i nodi Super e Worker e che è stata risolta nelle seguenti versioni:

• FortiSIEM 6.7.0 tramite 6.7.10 (migrazione a una versione corretta)
• FortiSIEM 7.0.0 tramite 7.0.4 (migrazione a una versione corretta)
• FortiSIEM da 7.1.0 a 7.1.8 (aggiornamento a 7.1.9 o versione successiva)
• FortiSIEM da 7.2.0 a 7.2.6 (aggiornamento a 7.2.7 o versione successiva)
• FortiSIEM da 7.3.0 a 7.3.4 (aggiornamento a 7.3.5 o versione successiva)
• FortiSIEM 7.4.0 (Aggiornamento a 7.4.1 o versione successiva)
• FortiSIEM 7.5 (non interessato)
• FortiSIEM Cloud (non interessato)

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.