SEK - Security Ecosystem Knowledge

SEK SECURITY ADVISORY

FortiSIEM: vulnerabilidade crítica permite execução remota de código sem autenticação
14 JANEIRO | 2026
SEVERIDADE: CRÍTICA

SEK SECURITY ADVISORY

FortiSIEM: Critical Vulnerability Allows Unauthenticated Remote Code Execution
JANUARY 14 | 2026
SEVERITY: CRITICAL

SEK SECURITY ADVISORY

FortiSIEM: vulnerabilidad crítica permite ejecución remota de código sin autenticación
14 ENERO | 2026
SEVERIDAD: CRÍTICA

Overview

A Fortinet divulgou a vulnerabilidade crítica CVE-2025-64155 (CVSS 9.4) no FortiSIEM, que permite execução remota de código sem autenticação. A falha está relacionada a uma neutralização inadequada de elementos especiais utilizados em comandos do sistema operacional (OS command injection - CWE-78) no componente phMonitor, que opera na porta TCP 7900. Atacantes não autenticados podem explorar a vulnerabilidade enviando requisições TCP especialmente crafted para nós Super e Worker do FortiSIEM.

A vulnerabilidade foi descoberta e reportada de forma responsável pelo pesquisador de segurança Zach Hanley (@hacks_zach) da Horizon3.ai. A falha permite injeção de argumentos em uma invocação de comando curl através de parâmetros maliciosos em payloads XML enviados ao serviço phMonitor, usado internamente pelos componentes do FortiSIEM para troca de dados e comandos. Como o serviço expõe diversos handlers de comando que podem ser invocados remotamente sem autenticação, atacantes podem influenciar o fluxo de execução e executar código arbitrário no sistema.

A classificação crítica se deve à facilidade de exploração (não requer autenticação ou interação do usuário, complexidade de ataque baixa) e ao alto impacto potencial. O FortiSIEM é amplamente utilizado em grandes empresas e ambientes de serviços gerenciados em setores como finanças, saúde, varejo e telecomunicações para monitoramento centralizado de eventos de segurança. A Fortinet já disponibilizou patches de segurança para todas as versões afetadas. Não há evidências públicas de exploração ativa até o momento, mas a disponibilização de proof of concept pela Horizon3.ai no GitHub aumenta o risco de exploração.

Produtos Afetados

CVE Severidade Produto Afetado
CVE-2025-64155 Crítica FortiSIEM 7.4.0, FortiSIEM 7.3.0 a 7.3.4, FortiSIEM 7.2.0 a 7.2.6, FortiSIEM 7.1.0 a 7.1.8, FortiSIEM 7.0.0 a 7.0.4, FortiSIEM 6.7.0 a 6.7.10

Recomendações

  • Atualizar imediatamente todas as instâncias FortiSIEM afetadas para as versões corrigidas: 7.4.1 ou superior, 7.3.5 ou superior, 7.2.7 ou superior, 7.1.9 ou superior
  • Para versões 7.0 e 6.7, migrar para uma versão corrigida o mais rápido possível
  • Como medida paliativa até a aplicação dos patches, implementar regras de firewall de rede ou host para restringir o acesso ao servidor FortiSIEM, especificamente bloqueando ou limitando rigorosamente o acesso ao serviço phMonitor na porta TCP 7900
  • Garantir que os serviços FortiSIEM sejam acessíveis apenas a partir de redes administrativas confiáveis
  • Revisar logs de acesso à porta TCP 7900 em busca de atividades suspeitas ou tentativas de exploração da vulnerabilidade
  • Verificar integridade dos sistemas FortiSIEM após a aplicação dos patches, procurando por sinais de comprometimento anterior
  • Monitorar comunicações de rede originadas dos servidores FortiSIEM para detectar possíveis conexões de comando e controle

Fontes

Overview

Fortinet disclosed the critical vulnerability CVE-2025-64155 (CVSS 9.4) in FortiSIEM, which allows unauthenticated remote code execution. The flaw is related to improper neutralization of special elements used in operating system commands (OS command injection - CWE-78) in the phMonitor component, which operates on TCP port 7900. Unauthenticated attackers can exploit the vulnerability by sending specially crafted TCP requests to FortiSIEM Super and Worker nodes.

The vulnerability was responsibly discovered and reported by security researcher Zach Hanley (@hacks_zach) from Horizon3.ai. The flaw allows argument injection into a curl command invocation through malicious parameters in XML payloads sent to the phMonitor service, used internally by FortiSIEM components for data and command exchange. Since the service exposes multiple command handlers that can be remotely invoked without authentication, attackers can influence execution flow and execute arbitrary code on the system.

The critical classification is due to the ease of exploitation (no authentication or user interaction required, low attack complexity) and high potential impact. FortiSIEM is widely used in large enterprises and managed service environments across sectors such as finance, healthcare, retail, and telecommunications for centralized security event monitoring. Fortinet has already released security patches for all affected versions. There is no public evidence of active exploitation at this time, but the availability of proof of concept by Horizon3.ai on GitHub increases exploitation risk.

Affected Products

CVE Severity Affected Product
CVE-2025-64155 Critical FortiSIEM 7.4.0, FortiSIEM 7.3.0 through 7.3.4, FortiSIEM 7.2.0 through 7.2.6, FortiSIEM 7.1.0 through 7.1.8, FortiSIEM 7.0.0 through 7.0.4, FortiSIEM 6.7.0 through 6.7.10

Recommendations

  • Immediately update all affected FortiSIEM instances to the fixed versions: 7.4.1 or above, 7.3.5 or above, 7.2.7 or above, 7.1.9 or above
  • For versions 7.0 and 6.7, migrate to a fixed version as soon as possible
  • As a temporary mitigation until patches are applied, implement network or host-based firewall rules to restrict access to the FortiSIEM server, specifically blocking or strictly limiting access to the phMonitor service on TCP port 7900
  • Ensure FortiSIEM services are only accessible from trusted administrative networks
  • Review access logs for TCP port 7900 for suspicious activities or exploitation attempts
  • Verify FortiSIEM system integrity after applying patches, looking for signs of previous compromise
  • Monitor network communications originating from FortiSIEM servers to detect possible command and control connections

Sources

Overview

Fortinet divulgó la vulnerabilidad crítica CVE-2025-64155 (CVSS 9.4) en FortiSIEM, que permite ejecución remota de código sin autenticación. La falla está relacionada con una neutralización inadecuada de elementos especiales utilizados en comandos del sistema operativo (OS command injection - CWE-78) en el componente phMonitor, que opera en el puerto TCP 7900. Atacantes no autenticados pueden explotar la vulnerabilidad enviando solicitudes TCP especialmente diseñadas a nodos Super y Worker de FortiSIEM.

La vulnerabilidad fue descubierta y reportada de forma responsable por el investigador de seguridad Zach Hanley (@hacks_zach) de Horizon3.ai. La falla permite inyección de argumentos en una invocación de comando curl a través de parámetros maliciosos en cargas útiles XML enviadas al servicio phMonitor, utilizado internamente por los componentes de FortiSIEM para intercambio de datos y comandos. Como el servicio expone diversos manejadores de comandos que pueden invocarse remotamente sin autenticación, los atacantes pueden influir en el flujo de ejecución y ejecutar código arbitrario en el sistema.

La clasificación crítica se debe a la facilidad de explotación (no requiere autenticación ni interacción del usuario, baja complejidad de ataque) y al alto impacto potencial. FortiSIEM es ampliamente utilizado en grandes empresas y entornos de servicios gestionados en sectores como finanzas, salud, comercio minorista y telecomunicaciones para monitoreo centralizado de eventos de seguridad. Fortinet ya ha lanzado parches de seguridad para todas las versiones afectadas. No hay evidencia pública de explotación activa hasta el momento, pero la disponibilidad de prueba de concepto por parte de Horizon3.ai en GitHub aumenta el riesgo de explotación.

Productos Afectados

CVE Severidad Producto Afectado
CVE-2025-64155 Crítica FortiSIEM 7.4.0, FortiSIEM 7.3.0 a 7.3.4, FortiSIEM 7.2.0 a 7.2.6, FortiSIEM 7.1.0 a 7.1.8, FortiSIEM 7.0.0 a 7.0.4, FortiSIEM 6.7.0 a 6.7.10

Recomendaciones

  • Actualizar inmediatamente todas las instancias FortiSIEM afectadas a las versiones corregidas: 7.4.1 o superior, 7.3.5 o superior, 7.2.7 o superior, 7.1.9 o superior
  • Para las versiones 7.0 y 6.7, migrar a una versión corregida lo antes posible
  • Como medida paliativa hasta la aplicación de los parches, implementar reglas de firewall de red o host para restringir el acceso al servidor FortiSIEM, específicamente bloqueando o limitando estrictamente el acceso al servicio phMonitor en el puerto TCP 7900
  • Garantizar que los servicios FortiSIEM sean accesibles solo desde redes administrativas confiables
  • Revisar registros de acceso al puerto TCP 7900 en busca de actividades sospechosas o intentos de explotación de la vulnerabilidad
  • Verificar la integridad de los sistemas FortiSIEM después de aplicar los parches, buscando señales de compromiso anterior
  • Monitorear comunicaciones de red originadas desde los servidores FortiSIEM para detectar posibles conexiones de comando y control

Fuentes

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos

SEK Content Hub

Access our content hub and check out the latest reports and news on cybersecurity.

Access Content Hub

Central de Contenidos SEK

Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.

Acceder a la Central de Contenidos