Fortinet ha confirmado que ha parcheado silenciosamente una vulnerabilidad crítica de día cero en su firewall de aplicaciones web FortiWeb, que ahora es «explotado masivamente en la naturaleza.»
El anuncio sigue informes de atacantes no autenticados que explotan una falla de recorrido de ruta desconocida de FortiWeb para crear nuevos usuarios administrativos en dispositivos expuestos a Internet.
Los ataques fueron identificados por primera vez por la empresa de inteligencia sobre amenazas Defused el 6 de octubre, que publicó una prueba de concepto de exploit y reportado que se está utilizando un «exploit desconocido de Fortinet (posiblemente una variante CVE-2022-40684)» para enviar solicitudes HTTP POST al punto final /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi Fortinet para crear cuentas de nivel de administrador local.
El jueves, los investigadores de seguridad de watchTowr Labs también hicieron una demostración de un exploit y lanzaron una herramienta llamada «Generador de artefactos de omisión de autenticación FortiWeb para ayudar a los defensores a identificar dispositivos vulnerables.
Empresa de ciberseguridad Rapid7 agregado que la falla afecta a las versiones 8.0.1 y anteriores de FortiWeb, ya que confirmó que el exploit de prueba de concepto disponible públicamente ya no funciona después de actualizar a la versión 8.0.2.
Hoy, Fortinet reveló que los atacantes están explotando activamente una vulnerabilidad de confusión de ruta (ahora rastreada como CVE-2025-64446) en el componente GUI de FortiWeb, que permite a atacantes no autenticados ejecutar comandos administrativos en sistemas sin parches a través de solicitudes HTTP o HTTPS diseñadas.
«Fortinet ha observado que esto se explota en la naturaleza», señaló la compañía en un Aviso de seguridad del viernesque confirmó que el día cero ha sido parcheado silenciosamente en FortiWeb 8.0.2, lanzado el 28 de octubre, tres semanas después del primer informe de Defused de que la falla de seguridad CVE-2025-64446 estaba siendo explotada en ataques.
| Versión | Afectado | Solución |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 a 8.0.1 | Actualice a 8.0.2 o superior |
| FortiWeb 7.6 | 7.6.0 a 7.6.4 | Actualice a 7.6.5 o superior |
| FortiWeb 7.4 | 7.4.0 a 7.4.9 | Actualice a 7.4.10 o superior |
| FortiWeb 7.2 | 7.2.0 a 7.2.11 | Actualice a 7.2.12 o superior |
| FortiWeb 7.0 | 7.0.0 a 7.0.11 | Actualice a 7.0.12 o superior |
Se ordenó a las agencias federales aplicar parches en una semana
CISA también se agregó la falla de recorrido de ruta CVE-2025-64446 a su catálogo de vulnerabilidades explotadas activamente el viernes, ordenando a las agencias federales de EE. UU. que parchear sus sistemas antes del 21 de noviembre.
«Este tipo de vulnerabilidad es un vector de ataque frecuente para ciberataques maliciosos y plantea riesgos importantes para la empresa federal», advirtió la agencia de ciberseguridad.
Los administradores que no puedan actualizar inmediatamente a FortiWeb 8.0.2 deben deshabilitar HTTP o HTTPS para todas las interfaces de administración con acceso a Internet y asegurarse de que el acceso esté restringido a redes confiables.
Fortinet también recomendó a los clientes que verificaran su configuración y revisaran los registros en busca de nuevas cuentas de administrador no autorizadas y otras modificaciones inesperadas.
BleepingComputer se comunicó con Fortinet con preguntas sobre estos ataques en curso, pero aún no hemos recibido una respuesta.
En agosto Fortinet Se corrigió una falla crítica en la inyección de comandos. (CVE-2025-25256) con código de explotación disponible públicamente en su solución de monitoreo de seguridad FortiSIEM, un día después de que la empresa de ciberseguridad GreyNoise advirtiera sobre un Aumento masivo de ataques de fuerza bruta dirigidos a VPN SSL de Fortinet.
Ya sea que esté limpiando claves antiguas o estableciendo barreras para el código generado por IA, esta guía ayuda a su equipo a construir de forma segura desde el principio.
Obtenga la hoja de trucos y elimine las conjeturas en la gestión de secretos.
