Relatos recentes confirmam exploração ativa contra uma falha crítica (CVE‑2025‑64155) no FortiSIEM da Fortinet. A vulnerabilidade, uma injeção de comando no serviço phMonitor, permite execução remota não autenticada e tem provas de exploração em honeypots, segundo a cobertura disponível.
Descoberta e escopo
A falha decorre de neutralização inadequada de elementos em comandos do sistema dentro do serviço phMonitor, que é responsável pela troca interna de dados entre nós Super e Worker do FortiSIEM. Ataques são enviados por requisições TCP ao porto 7900, atingindo endpoints de configuração de armazenamento com tipo "elastic" e injetando argumentos em um comando curl via payloads XML para gravação arbitrária de arquivos como usuário admin.
Vetor e exploração
Fontes citam que a exploração é possível sem autenticação e que há cadeia de escalada que pode levar a root por sobrescrição de binários executáveis. A demonstração técnica e Código‑Prova (PoC) foram publicados em repositório público no GitHub, e observadores de honeypots (grupo Defused) detectaram tentativas de exploração pouco depois da liberação de patches.
Evidências e limites
- Detecções em honeypots (Defused) mostram payloads que embutem infraestrutura de segunda etapa dentro das strings de injeção e entradas PHL_ERROR em /opt/phoenix/log/phoenix.log com URLs e caminhos de arquivos maliciosos.
- Fortinet informou que FortiSIEM Cloud e nós Collector não são afetados, segundo a cobertura recebida.
- Não há, no material disponível, indicação pública de inclusão na lista KEV da CISA no momento da cobertura.
Versões afetadas e correções
A cobertura inclui uma tabela de versões afetadas. Em resumo, versões FortiSIEM 6.7 (6.7.0–6.7.10), 7.0 (7.0.0–7.0.4), 7.1 (7.1.0–7.1.8), 7.2 (7.2.0–7.2.6), 7.3 (7.3.0–7.3.4) e 7.4.0 estão listadas como afetadas, com versões fix que variam por linha (por exemplo, 7.1.9, 7.2.7, 7.3.5, 7.4.1 ou superiores). FortiSIEM 7.5 e FortiSIEM Cloud foram relatados como não afetados.
Mitigação e recomendações operacionais
- Aplicar imediatamente as atualizações recomendadas pela Fortinet para nós Super/Worker e migrar para as releases corrigidas.
- Bloquear o acesso externo ao porto TCP 7900 até que as atualizações sejam aplicadas.
- Monitorar logs do phMonitor por entradas PHL_ERROR e buscar IOCs listados pela investigação (endereços IP e padrões de payloads) com EDR/IDS/IPS.
- Realizar scans de integridade de binários e revisar detecções de execução fora de padrão para detectar possíveis sobrescritas.
Repercussão
Um SIEM comprometido representa risco estratégico: ele pode encobrir atividade ofensiva, permitir exfiltração e movimentação lateral. A combinação de PoC público e detecções em honeypots eleva a urgência da resposta operacional para ambientes que utilizam FortiSIEM.
Fonte
Relato disponível no feed baseado em cobertura do Cyber Security News e em observações do grupo Defused.