🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Fortinet lançou atualizações para corrigir uma falha crítica de segurança que afeta o FortiSIEM e que poderia permitir que um invasor não autenticado conseguisse a execução de código em instâncias suscetíveis.
A vulnerabilidade de injeção do sistema operacional (SO), rastreada como CVE-2025-64155, é classificada como 9,4 de 10,0 no sistema de pontuação CVSS.
“Uma neutralização inadequada de elementos especiais usados em uma vulnerabilidade de comando do sistema operacional ('injeção de comando do sistema operacional') [CWE-78] no FortiSIEM pode permitir que um invasor não autenticado execute códigos ou comandos não autorizados por meio de solicitações TCP elaboradas”, disse a empresa em um boletim de terça-feira.
A Fortinet disse que a vulnerabilidade afeta apenas os nós Super e Worker, e que foi abordada nas seguintes versões –
FortiSIEM 6.7.0 a 6.7.10 (migrar para uma versão fixa)
FortiSIEM 7.0.0 a 7.0.4 (migrar para uma versão fixa)
FortiSIEM 7.1.0 a 7.1.8 (atualização para 7.1.9 ou superior)
FortiSIEM 7.2.0 a 7.2.6 (atualização para 7.2.7 ou superior)
FortiSIEM 7.3.0 a 7.3.4 (atualização para 7.3.5 ou superior)
FortiSIEM 7.4.0 (atualizar para 7.4.1 ou superior)
FortiSIEM 7.5 (não afetado)
Nuvem FortiSIEM (não afetado)
O pesquisador de segurança Horizon3.ai Zach Hanley, responsável pela descoberta e relato da falha em 14 de agosto de 2025, disse que ela compreende duas partes móveis -
Uma vulnerabilidade de injeção de argumento não autenticada que leva à gravação arbitrária de arquivos, permitindo a execução remota de código como usuário administrador
Uma vulnerabilidade de escalonamento de privilégios de substituição de arquivos que leva ao acesso root e compromete completamente o dispositivo
Especificamente, o problema tem a ver com a forma como o serviço phMonitor do FortiSIEM – um processo de back-end crucial responsável pelo monitoramento da integridade, distribuição de tarefas e comunicação entre nós via porta TCP 7900 – lida com solicitações recebidas relacionadas ao registro de eventos de segurança no Elasticsearch.
Isso, por sua vez, invoca um script de shell com parâmetros controlados pelo usuário, abrindo assim a porta para injeção de argumentos via curl e obtendo gravações arbitrárias de arquivos no disco no contexto do usuário administrador.
Essa gravação limitada de arquivo pode ser transformada em uma arma para obter o controle total do sistema, transformando a injeção de argumento curl em uma arma para gravar um shell reverso em "/opt/charting/redishb.sh", um arquivo que pode ser gravado por um usuário administrador e executado a cada minuto pelo dispositivo por meio de um cron job que é executado com permissões de nível raiz.
Em outras palavras, escrever um shell reverso neste arquivo permite o escalonamento de privilégios de administrador para root, concedendo ao invasor acesso irrestrito ao dispositivo FortiSIEM. O aspecto mais importante do ataque é que o serviço phMonitor expõe vários manipuladores de comandos que não requerem autenticação. Isto torna mais fácil para um invasor invocar essas funções simplesmente obtendo acesso de rede à porta 7900.
A Fortinet também enviou correções para outra vulnerabilidade crítica de segurança no FortiFone (CVE-2025-47855, pontuação CVSS: 9.3) que poderia permitir que um invasor não autenticado obtivesse a configuração do dispositivo por meio de uma solicitação HTTP(S) especialmente criada para a página do Portal da Web. Afeta as seguintes versões da plataforma de comunicações empresariais -
FortiFone 3.0.13 a 3.0.23 (atualização para 3.0.24 ou superior)
FortiFone 7.0.0 a 7.0.1 (atualização para 7.0.2 ou superior)
FortiFone 7.2 (não afetado)
Os usuários são aconselhados a atualizar para as versões mais recentes para obter proteção ideal. Como solução alternativa para CVE-2025-64155, a Fortinet recomenda que os clientes limitem o acesso à porta phMonitor (7900).
A vulnerabilidade de injeção do sistema operacional (SO), rastreada como CVE-2025-64155, é classificada como 9,4 de 10,0 no sistema de pontuação CVSS.
“Uma neutralização inadequada de elementos especiais usados em uma vulnerabilidade de comando do sistema operacional ('injeção de comando do sistema operacional') [CWE-78] no FortiSIEM pode permitir que um invasor não autenticado execute códigos ou comandos não autorizados por meio de solicitações TCP elaboradas”, disse a empresa em um boletim de terça-feira.
A Fortinet disse que a vulnerabilidade afeta apenas os nós Super e Worker, e que foi abordada nas seguintes versões –
FortiSIEM 6.7.0 a 6.7.10 (migrar para uma versão fixa)
FortiSIEM 7.0.0 a 7.0.4 (migrar para uma versão fixa)
FortiSIEM 7.1.0 a 7.1.8 (atualização para 7.1.9 ou superior)
FortiSIEM 7.2.0 a 7.2.6 (atualização para 7.2.7 ou superior)
FortiSIEM 7.3.0 a 7.3.4 (atualização para 7.3.5 ou superior)
FortiSIEM 7.4.0 (atualizar para 7.4.1 ou superior)
FortiSIEM 7.5 (não afetado)
Nuvem FortiSIEM (não afetado)
O pesquisador de segurança Horizon3.ai Zach Hanley, responsável pela descoberta e relato da falha em 14 de agosto de 2025, disse que ela compreende duas partes móveis -
Uma vulnerabilidade de injeção de argumento não autenticada que leva à gravação arbitrária de arquivos, permitindo a execução remota de código como usuário administrador
Uma vulnerabilidade de escalonamento de privilégios de substituição de arquivos que leva ao acesso root e compromete completamente o dispositivo
Especificamente, o problema tem a ver com a forma como o serviço phMonitor do FortiSIEM – um processo de back-end crucial responsável pelo monitoramento da integridade, distribuição de tarefas e comunicação entre nós via porta TCP 7900 – lida com solicitações recebidas relacionadas ao registro de eventos de segurança no Elasticsearch.
Isso, por sua vez, invoca um script de shell com parâmetros controlados pelo usuário, abrindo assim a porta para injeção de argumentos via curl e obtendo gravações arbitrárias de arquivos no disco no contexto do usuário administrador.
Essa gravação limitada de arquivo pode ser transformada em uma arma para obter o controle total do sistema, transformando a injeção de argumento curl em uma arma para gravar um shell reverso em "/opt/charting/redishb.sh", um arquivo que pode ser gravado por um usuário administrador e executado a cada minuto pelo dispositivo por meio de um cron job que é executado com permissões de nível raiz.
Em outras palavras, escrever um shell reverso neste arquivo permite o escalonamento de privilégios de administrador para root, concedendo ao invasor acesso irrestrito ao dispositivo FortiSIEM. O aspecto mais importante do ataque é que o serviço phMonitor expõe vários manipuladores de comandos que não requerem autenticação. Isto torna mais fácil para um invasor invocar essas funções simplesmente obtendo acesso de rede à porta 7900.
A Fortinet também enviou correções para outra vulnerabilidade crítica de segurança no FortiFone (CVE-2025-47855, pontuação CVSS: 9.3) que poderia permitir que um invasor não autenticado obtivesse a configuração do dispositivo por meio de uma solicitação HTTP(S) especialmente criada para a página do Portal da Web. Afeta as seguintes versões da plataforma de comunicações empresariais -
FortiFone 3.0.13 a 3.0.23 (atualização para 3.0.24 ou superior)
FortiFone 7.0.0 a 7.0.1 (atualização para 7.0.2 ou superior)
FortiFone 7.2 (não afetado)
Os usuários são aconselhados a atualizar para as versões mais recentes para obter proteção ideal. Como solução alternativa para CVE-2025-64155, a Fortinet recomenda que os clientes limitem o acesso à porta phMonitor (7900).
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #fortinet #corrige #falha #crítica #do #fortisiem, #permitindo #execução #remota #de #código #não #autenticado
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário