Código HTML do Conteúdo
Post: POC liberado para a falha de injeção de comando fortinet fortisiem
<div>
<div>
<p>Os pesquisadores de segurança descobriram uma grave vulnerabilidade de injeção de comando pré-autenticação na plataforma Fortinet Fortisiem, que permite que os invasores comprometam completamente os sistemas de monitoramento de segurança corporativa sem credenciais. </p>
<p>A vulnerabilidade, designada <a href="https://gbhackers.com/critical-fortisiem-vulnerability/" rel="noreferrer noopener" target="_blank">CVE-2025-25256</a>já foi explorado pelos atacantes em cenários do mundo real, levantando preocupações urgentes sobre a segurança das ferramentas críticas de monitoramento de infraestrutura.</p>
<h2 id="critical-vulnerability-found-in-enterprise-securit"><strong>Plataforma de segurança corporativa atingida por falha crítica</strong></h2>
<p>A Fortisiem, a principal solução de informações de segurança e gerenciamento de eventos da Fortinet (SIEM), é amplamente implantada em ambientes corporativos para monitorar eventos de segurança, correlacionar ameaças e fornecer recursos automatizados de resposta a incidentes. </p>
<p>A plataforma foi projetada para ser o sistema nervoso central dos Centros de Operações de Segurança Corporativa (SOCs), tornando essa vulnerabilidade particularmente relativa às organizações em todo o mundo.</p>
<p>A falha existe no componente Phonitor, um binário C ++ que opera na porta 7900 e é responsável pelo monitoramento da saúde dos processos Fortisiem. </p>
<p>Pesquisadores da WatchTowr Labs descobriram que a vulnerabilidade deriva de hernitização inadequada de entrada no <code>handleStorageArchiveRequest</code> função, onde os dados XML controlados pelo usuário são processados sem validação adequada.</p>
<p>A vulnerabilidade afeta uma extensa gama de versões Fortisiem:</p>
<ul>
<li>Todas as versões de 5.4 a 7.3.1 são vulneráveis à exploração.</li>
<li>As versões herdadas que datam de vários anos exigem migração completa para liberações fixas.</li>
<li>O Fortisiem 7.4 não é afetado por essa vulnerabilidade.</li>
<li>As versões remendadas incluem 7.3.2, 7.2.6, 7.1.8, 7.0.4 e 6.7.10.</li>
<li>As versões 6.6 e anteriores não podem ser corrigidas de forma incremental e requerem migração completa.</li>
</ul>
<p>Esse amplo impacto significa que as organizações que executam versões herdadas estão potencialmente em risco significativo de compromisso.</p>
<h2 id="real-world-attacks-already-underway"><strong>Ataques do mundo real</strong></h2>
<p>Talvez o mais alarmante seja o reconhecimento da Fortinet de que “o código prático de exploração para essa vulnerabilidade foi encontrado na natureza”. </p>
<p>Essa revelação desafia a narrativa comum de que as vulnerabilidades só se tornam perigosas depois que os pesquisadores de segurança publicam análises detalhadas. </p>
<p>Em vez disso, demonstra que atores maliciosos estão descobrindo e explorando ativamente essas falhas de forma independente.</p>
<p>A análise técnica revela que os invasores podem explorar essa vulnerabilidade enviando cargas úteis XML especialmente criadas para o serviço de Phonitor afetado. </p>
<p>A entrada maliciosa ignora o inadequado <code>addParaSafe</code> Função, que executou apenas citações básicas escapando em vez de higienização abrangente de entrada. </p>
<p>Em versões vulneráveis, isso permite que os invasores injetem comandos arbitrários que executam com os privilégios do sistema Fortisiem.</p>
<p>As equipes de segurança devem tratar essa vulnerabilidade como uma prioridade crítica que exige atenção imediata. </p>
<p>O fato de os sistemas SIEM serem especificamente direcionados torna isso particularmente perigoso, pois comprometer essas plataformas pode cegas organizações a ataques contínuos e potencialmente fornecer aos atacantes visibilidade abrangente na postura de segurança da rede.</p>
<p>As organizações devem inventariar imediatamente suas implantações da Fortisiem e verificar os números atuais da versão contra o aviso da Fortinet. </p>
<p>Para as versões 6.6 e anterior, o Fortinet recomenda a migração completa para lançamentos mais novos e remendados, em vez de atualizações incrementais.</p>
<p>WatchTowr Labs tem <a href="https://labs.watchtowr.com/should-security-solutions-be-secure-maybe-were-all-wrong-fortinet-fortisiem-pre-auth-command-injection-cve-2025-25256/" rel="noreferrer noopener nofollow" target="_blank">lançado</a> Um gerador de artefato de detecção para ajudar as equipes de segurança a identificar possíveis tentativas de exploração em seus ambientes. </p>
<p>Dada a simplicidade da exploração e o uso confirmado em wild, as organizações devem assumir que as tentativas ativas de varredura e exploração já estão ocorrendo.</p>
<p>O incidente ressalta preocupações mais amplas sobre a postura de segurança das próprias ferramentas de segurança, destacando a importância crítica do tratamento da infraestrutura de segurança com os mesmos padrões rigorosos de proteção aplicados a outros sistemas de negócios críticos.</p>
<p><strong><code>AWS Security Services:10-Point Executive Checklist -<a href="https://underdefense.com/aws-security-services-10-point-executive-checklist/?utm_source=cybersecuritynews.com&utm_medium=online_media&utm_campaign=csn_linkedin_newsletter_aws_sec_check_aug" rel="noreferrer noopener nofollow" target="_blank">Download for Free</a></code></strong></p>
</div></div>