Fortinet ha lanzado esta semana actualizaciones de seguridad urgentes para corregir dos vulnerabilidades graves en sus productos FortiSIEM y FortiOS / FortiSwitchManager, identificadas como CVE-2025-64155 y CVE-2025-25249. Ambos fallos permiten la ejecución remota de código sin autenticar y, en el caso de FortiSIEM, ya se han observado intentos de explotación y se ha publicado código proof of concept (PoC), lo que incrementa de forma notable el riesgo para las organizaciones.
Fortinet ha publicado recientemente los avisos de seguridad FG-IR-25-772 y FG-IR-25-084 en su portal FortiGuard, donde detalla dos vulnerabilidades de alta criticidad que afectan a FortiSIEM y a los sistemas FortiOS y FortiSwitchManager.
CVE-2025-64155 – FortiSIEM (FG-IR-25-772)
La vulnerabilidad CVE-2025-64155 ha sido clasificada por Fortinet como de riesgo crítico, con una puntuación CVSS v3 de 9.4. Se trata de un fallo de inyección de comandos del sistema operativo (OS Command Injection) en el servicio phMonitor, que escucha en el puerto TCP/7900. Un atacante remoto, no autenticado, puede enviar peticiones especialmente manipuladas a este servicio y conseguir ejecutar código o comandos arbitrarios en las instancias afectadas de FortiSIEM.
Según distintos análisis (Horizon3.ai, SOCRadar, Security Boulevard, The Hacker News), la explotación exitosa de esta vulnerabilidad permite llegar hasta acceso root en el dispositivo, lo que posibilita el control completo de la plataforma SIEM, la instalación de backdoors o la manipulación de registros y eventos. Además, la publicación de PoC y los primeros intentos de explotación observados en honeypots elevan la probabilidad de ataques generalizados en las próximas semanas.
Fortinet indica que FortiSIEM Cloud y la rama 7.5 no se ven afectados, mientras que las versiones on-premise desde la 6.7.0 hasta la 7.4.0 sí son vulnerables.
CVE-2025-25249 – FortiOS / FortiSwitchManager (FG-IR-25-084)
La segunda vulnerabilidad relevante, CVE-2025-25249, afecta a FortiOS y FortiSwitchManager y se debe a un desbordamiento de búfer en la memoria heap (CWE-122) en el daemon cw_acd. Este fallo permite que un atacante remoto no autenticado envíe paquetes especialmente diseñados, provoque el desbordamiento y logre ejecutar código arbitrario o comandos en los dispositivos afectados.
La vulnerabilidad ha sido evaluada con una puntuación CVSS v3 en torno a 7.3-7.4 (alta) y se considera capaz de llevar al compromiso completo del sistema si se explota con éxito, especialmente en despliegues FortiGate y entornos gestionados con FortiSwitchManager.
Productos Afectados
Fortinet ha detallado en sus avisos y notas técnicas los productos y versiones afectados por estas vulnerabilidades:
| Producto afectado – Vulnerabilidad | Riesgo | CVE |
|---|---|---|
| FortiSIEM (on-premise) versiones 6.7.0 – 7.4.0 (nodos Super y Worker; FortiSIEM Cloud y 7.5 no afectados) Inyección de comandos en el servicio phMonitor (TCP/7900) que permite a un atacante remoto no autenticado ejecutar código o comandos arbitrarios, con posibilidad de obtener acceso root al sistema. | Crítica, CVSS 9.4 | CVE-2025-64155 |
| FortiOS 6.4.0 – 7.6.3 y FortiSwitchManager 7.0.0 – 7.2.6 Desbordamiento de búfer en heap en el daemon cw_acd, explotable de forma remota y sin autenticación mediante paquetes especialmente creados, que puede conducir a ejecución de código arbitrario en el dispositivo. | Alta, CVSS ~7.3-7.4 | CVE-2025-25249 |
Solución
Fortinet ha publicado actualizaciones de software gratuitas que corrigen las vulnerabilidades descritas, y recomienda actualizar de forma inmediata a las versiones corregidas.
Para FortiSIEM (CVE-2025-64155):
Según las recomendaciones de distintos proveedores de seguridad:
- FortiSIEM Cloud – No afectado.
- FortiSIEM 7.5 – No afectado.
- FortiSIEM 7.4.0 – actualizar al menos a 7.4.1 o versión superior.
- FortiSIEM 7.3.0 – 7.3.4 – actualizar a 7.3.5 o superior.
- FortiSIEM 7.2.0 – 7.2.6 – actualizar a 7.2.7 o superior.
- FortiSIEM 7.1.0 – 7.1.8 – actualizar a 7.1.9 o superior.
- FortiSIEM 7.0.0 – 7.0.4 – migrar a una versión ya corregida (por encima de 7.1.9 / 7.2.7, según la estrategia de upgrade).
Además, se recomienda:
- No exponer FortiSIEM directamente a Internet, ubicándolo en una red de gestión aislada tras un cortafuegos.
- Revisar los registros de /opt/phoenix/log/phoenix.log buscando entradas anómalas (por ejemplo, mensajes PHL_ERROR con descargas de payloads) como punto de partida para tareas de threat hunting.
Para FortiSIEM (CVE-2025-25249):
- Instalar las versiones de FortiOS y FortiSwitchManager marcadas como «Fixed» en el advisory FG-IR-25-084.
- Limitar, en la medida de lo posible, la exposición de los servicios afectados a redes no seguras, segmentando adecuadamente la red y aplicando reglas de filtrado en los cortafuegos perimetrales.
En ambos casos, Fortinet y diversos CERT recomiendan complementar las actualizaciones con:
- Revisión de logs y telemetría en busca de indicadores de compromiso (IoC) publicados.
- Inventario y escaneo de todos los dispositivos Fortinet expuestos para verificar versiones y detectar instancias que sigan sin parchear.
Más información:
Fortinet PSIRT – FG-IR-25-772: Unauthenticated remote command injection in FortiSIEM (CVE-2025-64155)
Fortinet PSIRT – FG-IR-25-084: Heap-based buffer overflow in FortiOS and FortiSwitchManager cw_acd daemon (CVE-2025-25249)
CVE-2025-64155 (FortiSIEM Command Injection)
CVE-2025-25249 (FortiOS / FortiSwitchManager Heap-based Buffer Overflow)
Informes y análisis adicionales: Arctic Wolf, CIS, SOCRadar, The Hacker News, CSOnline, Security Boulevard, INCIBE-CERT.
