Fortinet ha identificado una vulnerabilidad crítica en su plataforma FortiSIEM que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios mediante solicitudes TCP especialmente diseñadas. Esta falla, catalogada como una inadecuada neutralización de elementos especiales utilizados en comandos del sistema operativo (Command Injection), permite la ejecución de código con privilegios elevados en los nodos afectados.
Severidad Crítica – CVSS 9.4
Una vulnerabilidad de inyección de comandos del sistema operativo en FortiSIEM puede ser explotada por un atacante remoto no autenticado para ejecutar código o comandos arbitrarios. El fallo se encuentra presente en los nodos Super y Worker de FortiSIEM, mientras que los nodos Collector no se ven afectados. La superficie de ataque se encuentra expuesta a través del puerto phMonitor (7900), por lo que es crucial restringir el acceso a este puerto desde redes no confiables.
PRODUCTOS AFECTADOS
| ID INTERNO | PRODUCTOS AFECTADOS | SOLUCIÓN |
|---|---|---|
| FG-IR-25-772 | FortiSIEM 7.4.0 | Actualizar a 7.4.1 o superior |
| FG-IR-25-772 | FortiSIEM 7.3.0 a 7.3.4 | Actualizar a 7.3.5 o superior |
| FG-IR-25-772 | FortiSIEM 7.2.6 | Actualizar a 7.2.7 o superior |
| FG-IR-25-772 | FortiSIEM 7.1.8 | Actualizar a 7.1.9 o superior |
| FG-IR-25-772 | FortiSIEM 7.0.4 | Actualizar a 7.1.9 o superior |
| FG-IR-25-772 | FortiSIEM 6.7.10 | Actualizar a 7.1.9 o superior |
| FG-IR-25-772 | FortiSIEM 7.5, FortiSIEM Cloud | No afectados |
RECOMENDACIONES
Restringir el acceso al puerto phMonitor (7900) únicamente desde redes internas confiables.
MARCA
Fortinet
TIPO DE VULNERABILIDAD
Command Injection (CWE-78)