Alerta de Vulnerabilidade - Fortinet FortiSIEM

Vulnerabilidade crítica CVE-2025-64155/EUVD-2026-2076 de injeção de comandos no sistema operativo (OS Command Injection, CWE-78) que pode ser explorada remotamente e sem autenticação através de requisições TCP especialmente construídas ao serviço phMonitor do Fortinet FortiSIEM nas seguintes versões [1][2][3]:

Versão	Versão afetada	Solução
FortiSIEM 7.4	7.4.0	Atualizar para a versão 7.4.1 ou superior
FortiSIEM 7.3	7.3.0 até à 7.3.4	Atualizar para a versão 7.3.5 ou superior
FortiSIEM 7.2	7.2.0 até à 7.2.6	Atualizar para a versão 7.2.7 ou superior
FortiSIEM 7.1	7.1.0 até à 7.1.8	Atualizar para a versão 7.1.9 ou superior com a correção aplicada
FortiSIEM 7.0	7.0.0 até à 7.0.4	Migrar para uma versão que inclua a correção
FortiSIEM 6.7	6.7.0 até 6.7.10	Migrar para uma versão que inclua a correção

Recomenda-se atualizar para as versões corrigidas mencionadas na Descrição deste Alerta.

Caso não seja possível atualizar imediatamente, recomenda-se [3][4]:
- Bloquear ou limitar o acesso ao phMonitor (tipicamente porta TCP/7900)
- Limitar exposição direta à Internet do FortiSIEM, permitindo apenas redes de VPN/administração de confiança

De forma a identificar tentativas de exploração da vulnerabilidade, sugere-se a análise das informações de log presentes em "/opt/phoenix/log/phoenix.logs". Registos incomuns relacionados ao serviço phMonitor, erros de análise sintática (parsing), comandos inesperados ou padrões fora do comportamento normal podem indicar tentativas de exploração da vulnerabilidade.

[1] - https://nvd.nist.gov/vuln/detail/CVE-2025-64155
[2] - https://euvd.enisa.europa.eu/vulnerability/EUVD-2026-2076
[3] - https://www.fortiguard.com/psirt/FG-IR-25-772
[4] - https://socradar.io/blog/cve-2025-64155-fortisiem-remote-root-access