Los investigadores de ciberseguridad están alertando sobre una vulnerabilidad de omisión de autenticación en Fortinet Fortiweb Web Application Firewall (WAF) que podría permitir a un atacante hacerse cargo de las cuentas de administrador y comprometer completamente un dispositivo.
«El equipo de watchTowr está viendo una explotación activa e indiscriminada de lo que parece ser una vulnerabilidad silenciosamente reparada en el producto FortiWeb de Fortinet», dijo en un comunicado Benjamin Harris, CEO y fundador de watchTowr.
«Parcheada en la versión 8.0.2, la vulnerabilidad permite a los atacantes realizar acciones como un usuario privilegiado, y la explotación en estado salvaje se centra en agregar una nueva cuenta de administrador como mecanismo básico de persistencia para los atacantes».
La empresa de ciberseguridad dijo que pudo reproducir con éxito la vulnerabilidad y crear una prueba de concepto (Poc) funcional. También ha lanzado una herramienta generadora de artefactos para la omisión de autenticación para ayudar a identificar dispositivos susceptibles.
Según los detalles compartidos por Defused y el investigador de seguridad Daniel Card de PwnDefend, se descubrió que el actor de amenazas detrás de la explotación envía una carga útil al punto final «/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi» mediante una solicitud HTTP POST para crear una cuenta de administrador.
Algunos de los nombres de usuario y contraseñas de administrador creados por las cargas útiles detectadas en la naturaleza se encuentran a continuación:
- Punto de prueba / AFodIUU3Sszp5
- comerciante1/3eMIXX43
- comerciante / 3eMIXX43
- prueba1234punto / AFT3$tH4ck
- Punto de prueba / AFT3$tH4ck
- Punto de prueba/AFT3$tH4ckmet0d4yaga!n
La investigadora de watchTowr Labs, Sina Kheirkhah, en un análisis de seguimiento, dijo que la vulnerabilidad es en realidad una combinación de dos fallas: un error de recorrido de ruta dentro de la solicitud HTTP para llegar al ejecutable «fwbcgi» («/api/v2.0/cmdb/system/admin%3F/../../../../../cg1-bin/fwbcgi») y una omisión de autenticación a través del contenido del encabezado de la solicitud HTTP CGIINFO.
El binario «fwbcgi» incluye una verificación para confirmar si el cuerpo de la solicitud HTTP entrante es un blob JSON válido, además de invocar una función llamada «cgi_auth()», que «proporciona un mecanismo para hacerse pasar por cualquier usuario basándose en los datos proporcionados por el cliente».
Esto se desarrolla en cuatro pasos:
- Extraiga un encabezado CGIINFO de la solicitud HTTP
- Decodificar el valor codificado en Base64
- Analizar el resultado como JSON
- Itere sobre todas las claves JSON en el blob para extraer cuatro atributos: nombre de usuario, nombre prof (nombre de perfil), vdom (dominio virtual) y nombre de inicio de sesión (identificador de inicio de sesión).
En otras palabras, estos campos pasados a través de la solicitud HTTP indican «fwbcgi» al usuario que el remitente de la solicitud desea suplantar. En el caso de la cuenta «admin» integrada, estos valores son consistentes en todos los dispositivos y no se pueden cambiar: nombre de usuario («admin»), nombre de prof («prof_admin»), vdom («root») y nombre de inicio de sesión («admin»).
Como resultado, un atacante puede aprovechar la vulnerabilidad de recorrido de ruta enviando una solicitud HTTP específicamente diseñada que contiene un encabezado CGIINFO que le permite hacerse pasar por cualquier usuario, incluido un administrador, simplemente proporcionando los valores antes mencionados y heredando sus privilegios.
«Eso significa que un atacante puede realizar cualquier acción privilegiada simplemente proporcionando la estructura JSON adecuada», explicó Kheirkhah, y agregó que la vulnerabilidad podría usarse como arma para crear nuevos usuarios locales con privilegios elevados.
Se desconocen los orígenes y la identidad del actor amenazante detrás de los ataques. La actividad de explotación fue detectado por primera vez principios del mes pasado. Al momento de escribir este artículo, Fortinet no ha asignado un identificador CVE ni ha publicado un aviso en su feed PSIRT.
Rapid7, que insta a las organizaciones que ejecutan versiones de Fortinet FortiWeb anteriores a 8.0.2 a abordar la vulnerabilidad de manera urgente, dijo que observó que un supuesto exploit de día cero dirigido a FortiWeb se publicó para la venta en un popular foro de sombrero negro el 6 de noviembre de 2025. Actualmente no está claro si es el mismo exploit.
«Mientras esperamos un comentario de Fortinet, los usuarios y las empresas se enfrentan ahora a un proceso familiar: busque signos triviales de compromiso previo, comuníquese con Fortinet para obtener más información y aplique parches si aún no lo ha hecho», dijo Harris. «Dicho esto, dada la explotación indiscriminada observada (…), los aparatos que no han sido parcheados probablemente ya estén comprometidos.»
Actualizar
Fortinet ahora está rastreando la vulnerabilidad como CVE-2025-64446 (Puntuación CVSS: 9.1), describiéndola como una vulnerabilidad de recorrido de ruta relativa en FortiWeb que puede permitir que un atacante no autenticado ejecute comandos administrativos en el sistema a través de solicitudes HTTP o HTTPS diseñadas. La empresa también reconoció que ha «observado que esto es explotado en la naturaleza».
El problema afecta a las siguientes versiones:
- FortiWeb 8.0.0 a 8.0.1 (Actualice a 8.0.2 o superior)
- FortiWeb 7.6.0 a 7.6.4 (Actualice a 7.6.5 o superior)
- FortiWeb 7.4.0 a 7.4.9 (Actualice a 7.4.10 o superior)
- FortiWeb 7.2.0 a 7.2.11 (Actualice a 7.2.12 o superior)
- FortiWeb 7.0.0 a 7.0.11 (Actualice a 7.0.12 o superior)
Como solución alternativa, se recomienda a los usuarios que deshabiliten HTTP o HTTPS para las interfaces conectadas a Internet hasta que se puedan aplicar los parches. También se recomienda revisar su configuración y revisar los registros para detectar modificaciones inesperadas o la adición de cuentas de administrador no autorizadas.
«Somos conscientes de esta vulnerabilidad y activamos nuestra respuesta PSIRT y nuestros esfuerzos de remediación tan pronto como nos enteramos de este asunto, y esos esfuerzos continúan», dijo un portavoz de la compañía a The Hacker News.
«Fortinet equilibra diligentemente nuestro compromiso con la seguridad de nuestros clientes y nuestra cultura de transparencia responsable. Con ese objetivo y principio en mente, nos estamos comunicando directamente con los clientes afectados para asesorarlos sobre las acciones recomendadas necesarias. Instamos a nuestros clientes a consultar el aviso y seguir las pautas proporcionadas por CVE FG-IR-25-910».
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 21 de noviembre de 2025.
«Limitar el acceso a las interfaces de gestión HTTP/HTTPS a las redes internas es una mejor práctica que reduce, pero no elimina, el riesgo; actualizar los sistemas afectados sigue siendo esencial y es la única manera de remediar completamente esta vulnerabilidad», dijo la agencia en un aviso separado.
En una alerta similar, la empresa de ciberseguridad VulnCheck instó a los clientes de FortiWeb a comunicarse con el proveedor para obtener orientación sobre la búsqueda de amenazas y otros indicadores de compromiso (IoC). También criticó el enfoque de seguridad por oscuridad de Fortinet.
«Parchar silenciosamente las vulnerabilidades es una mala práctica establecida que permite a los atacantes y perjudica a los defensores, particularmente para dispositivos y sistemas (incluido FortiWeb) que han sido previamente explotados en la naturaleza», dijo Caitlin Condon de VulnCheck. «Cuando los proveedores de tecnología populares no logran comunicar nuevos problemas de seguridad, están emitiendo una invitación a los atacantes y optan por ocultar esa misma información a los defensores».
(La historia fue modificada después de la publicación para incluir una respuesta de Fortinet y detalles del aviso de CISA).
