Los investigadores de ciberseguridad advierten sobre una vulnerabilidad de omisión de autenticación en Fortinet FortiWeb Web Application Firewall (WAF) que podría permitir a un atacante hacerse cargo de las cuentas de administrador y comprometer completamente un dispositivo.
“El equipo de watchTowr está observando una explotación activa e indiscriminada de lo que parece ser una vulnerabilidad silenciosamente parcheada en el producto FortiWeb de Fortinet”, dijo Benjamin Harris, CEO y fundador de watchTowr, en un comunicado.
“La vulnerabilidad parcheada en la versión 8.0.2 permite a los atacantes realizar acciones como un usuario privilegiado, y la explotación en la naturaleza se centra en agregar una nueva cuenta de administrador como mecanismo básico de persistencia para los atacantes”.
La empresa de ciberseguridad dijo que pudo reproducir con éxito la vulnerabilidad y crear una prueba de concepto (POC) funcional. También se lanzó una herramienta generadora de artefactos de omisión de autenticación para identificar dispositivos vulnerables.
Según Defused y el investigador de seguridad Daniel Card de PwnDefend, se descubrió que el actor de amenazas detrás del exploit envía una carga útil a través de una solicitud HTTP POST al punto final “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” para crear una cuenta de administrador.
Algunos de los nombres de usuario y contraseñas de administrador creados por las cargas útiles descubiertas en la naturaleza se enumeran a continuación:
- Punto de prueba / AFodIUU3Sszp5
- Distribuidor1/3eMIXX43
- Distribuidor / 3eMIXX43
- prueba1234punto / AFT3$tH4ck
- Punto de prueba / AFT3$tH4ck
- Punto de prueba / AFT3$tH4ckmet0d4yaga!n
La investigadora de watchTowr Labs, Sina Kheirkhah, dijo en un análisis de seguimiento que la vulnerabilidad es en realidad una combinación de dos fallas: un error de recorrido de ruta dentro de la solicitud HTTP para llegar al ejecutable “fwbcgi” (“/api/v2.0/cmdb/system/admin%3F/../../../../../cg1-bin/fwbcgi”) y una omisión de autenticación a través del contenido del encabezado de la solicitud HTTP CGIINFO.
El binario “fwbcgi” incluye una verificación para confirmar si el cuerpo de la solicitud HTTP entrante es un blob JSON válido y también llama a una función llamada “cgi_auth()”, que “proporciona un mecanismo para hacerse pasar por cualquier usuario basándose en los datos proporcionados por el cliente”.
Esto se hace en cuatro pasos:
- Extraiga un encabezado CGIINFO de la solicitud HTTP
- Decodificar el valor codificado en Base64
- Analizar el resultado como JSON
- Recorra todas las claves JSON del blob para extraer cuatro atributos: nombre de usuario, nombre prof (nombre de perfil), VDOM (dominio virtual) y nombre de inicio de sesión (identificador de inicio de sesión).
En otras palabras, estos campos pasados a través de la solicitud HTTP indican “fwbcgi” al usuario que desea hacerse pasar por el remitente de la solicitud. En el caso de la cuenta “admin” integrada, estos valores son consistentes en todos los dispositivos y no se pueden cambiar: nombre de usuario (“admin”), profname (“prof_admin”), vdom (“root”) y nombre de inicio de sesión (“admin”).
Por lo tanto, un atacante puede explotar la vulnerabilidad de recorrido de ruta enviando una solicitud HTTP especialmente diseñada con un encabezado CGIINFO que le permite hacerse pasar por cualquier usuario, incluido un administrador, simplemente especificando los valores anteriores y heredando sus permisos.
“Esto significa que un atacante puede realizar cualquier acción privilegiada simplemente proporcionando la estructura JSON adecuada”, explicó Kheirkhah, y agregó que la vulnerabilidad podría usarse como arma para crear nuevos usuarios locales con privilegios elevados.
Se desconocen el origen y la identidad del actor amenazante detrás de los ataques. La actividad de explotación fue descubierto por primera vez principios del mes pasado.
Rapid7, que insta a las organizaciones que utilizan versiones de Fortinet FortiWeb anteriores a 8.0.2 a corregir la vulnerabilidad en caso de emergencia, dijo que observó un presunto exploit de día cero dirigido a FortiWeb que se publicó para la venta en un popular foro de sombrero negro el 6 de noviembre de 2025. Actualmente no está claro si se trata del mismo exploit.
“Mientras esperamos comentarios de Fortinet, los usuarios y las empresas ahora enfrentan un proceso familiar: buscar signos triviales de un compromiso previo, contactar a Fortinet para obtener más información y aplicar parches si aún no lo ha hecho”, dijo Harris. “Dada la explotación indiscriminada observada (…), es probable que los dispositivos que no estén parcheados ya estén comprometidos”.
Actualizar
Fortinet ahora está rastreando la vulnerabilidad como CVE-2025-64446 (Puntuación CVSS: 9.1) y la describe como una vulnerabilidad de recorrido de ruta relativa en FortiWeb que podría permitir a un atacante no autenticado ejecutar comandos administrativos en el sistema a través de solicitudes HTTP o HTTPS diseñadas. La empresa también reconoció que había “observado que esto estaba siendo explotado en la naturaleza”.
El problema afecta a las siguientes versiones:
- FortiWeb 8.0.0 a 8.0.1 (actualizar a 8.0.2 o posterior)
- FortiWeb 7.6.0 a 7.6.4 (actualizar a 7.6.5 o posterior)
- FortiWeb 7.4.0 a 7.4.9 (actualizar a 7.4.10 o posterior)
- FortiWeb 7.2.0 a 7.2.11 (actualizar a 7.2.12 o posterior)
- FortiWeb 7.0.0 a 7.0.11 (actualizar a 7.0.12 o posterior)
Para solucionar este problema, se recomienda a los usuarios que deshabiliten HTTP o HTTPS para las interfaces conectadas a Internet hasta que se puedan aplicar los parches. También se recomienda verificar la configuración y los registros para detectar cambios inesperados o la adición de cuentas de administrador no autorizadas.
“Somos conscientes de esta vulnerabilidad y activamos nuestra respuesta PSIRT y nuestros esfuerzos de remediación tan pronto como nos enteramos de este asunto, y estos esfuerzos continuarán”, dijo un portavoz de la compañía a The Hacker News.
“Fortinet equilibra cuidadosamente nuestro compromiso con la seguridad de nuestros clientes y nuestra cultura de transparencia responsable. Con este objetivo y principio en mente, nos estamos comunicando directamente con los clientes afectados para informarles sobre las acciones recomendadas necesarias. Instamos a nuestros clientes a consultar el aviso y seguir la guía proporcionada por CVE FG-IR-25-910”.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas (KEV) y requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 21 de noviembre de 2025.
“Restringir el acceso a las interfaces de gestión HTTP/HTTPS a las redes internas es una mejor práctica que reduce pero no elimina el riesgo; la actualización de los sistemas afectados sigue siendo esencial y es la única manera de abordar completamente esta vulnerabilidad”, dijo la agencia en un aviso separado.
En una alerta similar, la empresa de ciberseguridad VulnCheck instó a los clientes de FortiWeb a ponerse en contacto con el proveedor para obtener asesoramiento sobre la búsqueda de amenazas y otros indicadores de compromiso (IoC). También criticó el enfoque de seguridad por oscuridad de Fortinet.
“El parche silencioso de vulnerabilidades es una mala práctica bien establecida que permite a los atacantes y perjudica a los defensores, particularmente para dispositivos y sistemas (incluido FortiWeb) que han sido previamente explotados en la naturaleza”, dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck. “Cuando los proveedores de tecnología populares no logran comunicar nuevos problemas de seguridad, extienden una invitación a los atacantes y optan por ocultar la misma información a los defensores”.
(La historia se modificó después de la publicación para incluir una respuesta de Fortinet y detalles del aviso de CISA).
About The Author
