Una vulnerabilidad crítica en el firewall de aplicaciones web (WAF) FortiWeb de Fortinet está siendo activamente explotada por ciberdelincuentes, lo que podría configurarla como un ataque Zero-Day.
La falla, que permite a atacantes no autenticados acceder como administradores al panel de FortiWeb Manager y a la interfaz de línea de comandos de WebSocket, fue detectada inicialmente a través de una prueba de concepto (PoC) compartida por Defused el 6 de octubre de 2025. Este hallazgo se realizó tras captar intentos reales de ataque hacia instancias de FortiWeb expuestas.
FortiWeb actúa como un mecanismo de defensa crucial, concebido para identificar y bloquear el tráfico malicioso dirigido a aplicaciones web, lo que lo convierte en un blanco preferido para los atacantes que buscan comprometer la seguridad de las organizaciones.
La vulnerabilidad parece derivarse de un problema de recorrido de rutas (path traversal) que permite la explotación remota sin necesidad de acceso previo, lo que podría conducir a la completa compromisión del dispositivo y al posterior movimiento lateral dentro de las redes.
La empresa de seguridad Rapid7 confirmó la efectividad del exploit, señalando que permite la creación de cuentas de administrador no autorizadas como «hax0r» en las versiones vulnerables.
Las pruebas indicaron diferencias notables en las respuestas entre las versiones afectadas y las actualizadas.
En FortiWeb 8.0.1, lanzada en agosto de 2025, un exploit exitoso regresa una respuesta HTTP 200 OK con detalles JSON del nuevo usuario administrador, incluyendo contraseñas cifradas y perfiles de acceso. En cambio, la versión 8.0.2, que salió a finales de octubre, rechaza el intento con un error HTTP 403 Prohibido, lo que sugiere una posible mitigación.
Rapid7 destacó que, aunque la prueba de concepto pública es ineficaz en la versión 8.0.2, no está claro si esta actualización incluye una corrección deliberada o cambios fortuitos.
Desde octubre de 2025, se han reportado incidentes de explotación, y Defused ha afirmado haber llevado a cabo ataques contra dispositivos expuestos. La exploración y propagación global de la vulnerabilidad ha crecido, abarcando direcciones IP de Estados Unidos, Europa y Asia.
Agregando urgencia al asunto, el 6 de noviembre de 2025, Rapid7 detectó una supuesta vulnerabilidad de día cero para FortiWeb que se ofrecía en un conocido foro de hackers, aunque aún no se ha confirmado su relación con esta falla.
Las organizaciones que usan versiones de FortiWeb anteriores a 8.0.2 enfrentan un riesgo inmediato y deben priorizar actualizaciones urgentes o aislar las interfaces de administración para evitar su exposición pública. Se aconseja a los responsables de seguridad revisar los registros en busca de creaciones sospechosas de cuentas de administrador y monitorear los canales de Fortinet por posibles divulgaciones.
A fecha del 13 de noviembre de 2025, Fortinet no ha emitido directrices oficiales, asignado un identificador CVE ni publicado un aviso en su canal PSIRT. La falta de reconocimiento por parte del proveedor incrementa la preocupación, particularmente dado el historial de ataques dirigidos a Fortinet.
Investigadores de watchTowr Labs incluso han publicado herramientas para detectar instancias vulnerables mediante la generación aleatoria de usuarios administradores:
- Testpoint / AFodIUU3Sszp5
- trader1 / 3eMIXX43
- trader / 3eMIXX43
- test1234point / AFT3$tH4ck
- Testpoint / AFT3$tH4ck
- Testpoint / AFT3$tH4ckmet0d4yaga!n
Algunos de los nombres de usuario y contraseñas de administrador generados por las cargas útiles encontradas en la actividad se enumeran a continuación:
Este incidente resalta la importancia de aplicar parches de manera efectiva en la infraestructura crítica, ya que una explotación amplia podría materializarse poco después de los ataques iniciales. Las actualizaciones de esta noticia incluirán cualquier respuesta oficial de Fortinet.
Fuente:
CyberSecurity
Con Información de blog.segu-info.com.ar