São Paulo — InkDesign News — A Fortinet revelou uma vulnerabilidade crítica de execução remota de código não autenticada em sua plataforma FortiSIEM. Com a circulação de um exploit de prova de conceito, o alerta é para a iminência de ataques direcionados.
Vetor de ataque
A falha divulgada, identificada como CVE-2025-25256, é uma vulnerabilidade de injeção de comando do sistema operacional que permite a um atacante remoto não autenticado executar código arbitrário em sistemas afetados por meio de requisições especialmente elaboradas na interface de linha de comando (CLI). Essa vulnerabilidade abrange todas as versões do FortiSIEM, desde a 5.4 até a 7.3.1.
Impacto e resposta
Fortinet já lançou versões atualizadas de seus produtos e recomenda que as organizações façam a atualização ou migração para esses novos lançamentos. Como mitigação temporária, a empresa sugere limitar o acesso à porta phMonitor (7900). “Código de exploit prático para essa vulnerabilidade foi encontrado em circulação”, advertiu a companhia.
“Por trás dessa atividade, está uma clara mudança de comportamento dos atacantes, focando em serviços que gerenciam múltiplos dispositivos Fortinet.”
(“This indicated a shift in attacker behavior — potentially the same infrastructure or toolset pivoting to a new Fortinet-facing service.”)— GreyNoise
Análise e recomendações
A GreyNoise, que monitora a atividade de ameaças globais na Internet, observou um aumento significativo no tráfego de força bruta direcionado a VPNs SSL da Fortinet. O comportamento dos atacantes se desmembrou em duas ondas distintas: a primeira focou no FortiOS, enquanto a segunda mirou o FortiManager utilizando o protocolo proprietário FortiGate-to-FortiManager (FGFM).
Pesquisadores alertam que ataques semelhantes em alvos da Fortinet frequentemente precedem a descoberta de novas vulnerabilidades. Historicamente, 80% das ocorrências anteriores de picos de tráfego malicioso resultaram na divulgação de um CVE algum tempo depois.
As recentes descobertas são preocupantes, pois a vulnerabilidade não gera indicadores de compromisso distintos quando explorada, dificultando a detecção da violação nos dispositivos comprometidos. Para mitigar riscos, recomenda-se que as organizações atualizem prontamente seus sistemas e implementem controles de acesso rigorosos.
O cenário atual indica que os produtos da Fortinet continuarão na mira de atacantes, aumentando a urgência de resposta e a necessidade de atualização constante para proteger as infraestruturas empresariais.
Fonte: (Dark Reading – Segurança Cibernética)
