A CVE-2025-64155 colocou novamente a Fortinet no centro de um alerta de segurança de alto impacto. A falha, classificada como crítica, já está sendo explorada ativamente em ataques reais e conta com prova de conceito pública, o que eleva drasticamente o risco para ambientes corporativos. O problema afeta o FortiSIEM e permite execução remota de código (RCE) com privilégios de root, um cenário extremamente perigoso para organizações que utilizam a plataforma como peça central de monitoramento e resposta a incidentes.
O alerta não é teórico. Pesquisadores de segurança confirmaram tentativas de exploração em larga escala, e a combinação de PoC disponível com sistemas expostos à internet cria uma janela crítica para comprometimentos completos. Para administradores de sistemas e profissionais de cibersegurança, o momento exige ação imediata.
O que é a vulnerabilidade CVE-2025-64155
A CVE-2025-64155 é uma falha de injeção de comandos identificada no serviço phMonitor, componente essencial do FortiSIEM responsável pela coleta e monitoramento de métricas. O serviço escuta conexões na porta 7900/TCP e, devido a validação inadequada de entradas, permite que um invasor remoto injete comandos arbitrários no sistema operacional subjacente.
O ponto mais crítico é o contexto de execução. O serviço vulnerável opera com privilégios elevados, o que significa que qualquer comando explorado com sucesso é executado diretamente como root. Na prática, isso transforma a vulnerabilidade em um vetor de comprometimento total do appliance, sem necessidade de autenticação prévia.
Essa combinação de acesso remoto, ausência de autenticação e privilégios máximos explica por que a falha foi rapidamente classificada como crítica e passou a ser explorada poucas horas após a divulgação técnica.
Versões afetadas e impacto
De acordo com as informações técnicas divulgadas, a vulnerabilidade CVE-2025-64155 afeta múltiplas versões do FortiSIEM, abrangendo um intervalo amplo de implantações ativas.
Estão vulneráveis as versões 6.7.x, 7.0.x, 7.1.x, 7.2.x, 7.3.x, 7.4.0 e 7.5.0, ou seja, praticamente todas as releases mais utilizadas em produção até o momento do alerta.
O impacto potencial é severo. Um atacante que explore a falha pode executar comandos arbitrários, instalar backdoors, exfiltrar logs e credenciais, desativar mecanismos de monitoramento e usar o FortiSIEM como ponto de pivô para ataques laterais dentro da rede corporativa. Como se trata de uma solução SIEM, o comprometimento também mina a confiabilidade dos dados de segurança, dificultando a detecção de outros incidentes.
Exploração ativa e prova de conceito
A gravidade da CVE-2025-64155 se tornou ainda mais evidente após a publicação de uma prova de conceito funcional pela equipe da Horizon3.ai. O código demonstra, de forma clara, como explorar a injeção de comandos no serviço phMonitor através da porta 7900, resultando em execução remota como root.
Pouco depois da divulgação da PoC, a empresa Defused confirmou a detecção de tentativas de exploração em seus honeypots expostos à internet. Os ataques seguem exatamente o padrão descrito na prova de conceito, indicando que agentes maliciosos estão automatizando o exploit para varredura e comprometimento em massa.
Esse tipo de cenário é especialmente perigoso porque reduz drasticamente a barreira técnica para ataques. Mesmo operadores com baixo nível de conhecimento conseguem adaptar a PoC para campanhas oportunistas, focadas em sistemas desatualizados ou mal segmentados.
Como mitigar e corrigir o problema
A mitigação da CVE-2025-64155 deve ser tratada como prioridade máxima. Ambientes expostos à internet ou sem controles de rede adequados estão sob risco imediato.
Aplicação de atualizações de segurança
A Fortinet já disponibilizou versões corrigidas do FortiSIEM que eliminam a vulnerabilidade no serviço phMonitor. A recomendação oficial é atualizar imediatamente para uma das seguintes versões ou superiores:
Versão 7.5.1 ou posterior
Versão 7.4.1 ou posterior
Versão 7.3.5 ou posterior
Versão 7.2.8 ou posterior
A aplicação do patch é a única forma definitiva de eliminar o vetor de ataque. Sempre que possível, a atualização deve ser realizada após backup completo do sistema e validação em ambiente de teste, mas sem atrasos desnecessários.
Solução paliativa: bloqueio da porta 7900
Para organizações que não conseguem atualizar imediatamente, a Fortinet recomenda uma medida paliativa de contenção. O bloqueio do acesso à porta 7900/TCP em firewalls e controles de borda reduz significativamente a superfície de ataque.
Essa mitigação não corrige a falha, mas impede a exploração remota direta enquanto a atualização não é aplicada. É fundamental garantir que a porta não esteja exposta à internet e que o acesso interno seja restrito apenas a hosts estritamente necessários.
Como identificar se você foi alvo (IoCs)
Além de corrigir e mitigar, é essencial verificar se o ambiente já foi comprometido. A exploração da CVE-2025-64155 deixa rastros que podem ser identificados em logs do sistema.
Administradores devem analisar atentamente os arquivos de log localizados em /opt/phoenix/log/phoenix.logs. Entradas incomuns relacionadas ao serviço phMonitor, erros de parsing, comandos inesperados ou padrões fora do comportamento normal podem indicar tentativas de exploração ou comprometimento bem-sucedido.
Também é recomendado revisar processos em execução, contas criadas recentemente, tarefas agendadas e alterações em arquivos críticos do sistema, já que um invasor com acesso root tende a buscar persistência.
Conclusão e histórico recente da Fortinet
A CVE-2025-64155 reforça uma tendência preocupante observada nos últimos meses, com múltiplas falhas críticas impactando produtos da Fortinet, incluindo vulnerabilidades recentes no FortiWeb que também foram exploradas ativamente. O padrão evidencia que soluções amplamente adotadas por equipes de segurança se tornaram alvos prioritários para atacantes.
Para administradores e profissionais de cibersegurança, a lição é clara. A agilidade no patching, a redução da superfície de ataque e o monitoramento contínuo de indicadores de comprometimento não são opcionais. Em um cenário onde PoCs se transformam em ataques reais em questão de horas, a janela de reação é cada vez menor.
Manter o FortiSIEM atualizado e corretamente segmentado é essencial não apenas para proteger a própria ferramenta, mas para preservar a visibilidade e a confiança em todo o ecossistema de segurança da organização.