Cero día en FortiWeb: explotación activa y parche urgente

Fortinet ha publicado nuevas actualizaciones de seguridad para abordar una vulnerabilidad de día cero en su firewall de aplicaciones web FortiWeb, después de confirmar que actores maliciosos ya están explotando el fallo en ataques reales. La vulnerabilidad, catalogada como CVE-2025-58034, fue reportada por Jason McFadyen, investigador de Trend Micro, y se ha convertido rápidamente en una amenaza crítica para organizaciones que dependen de FortiWeb para proteger sus aplicaciones expuestas a Internet.

Este nuevo fallo se suma a una serie de vulnerabilidades de alto perfil que han afectado a FortiWeb durante los últimos meses, evidenciando que los dispositivos de Fortinet continúan siendo uno de los objetivos más atractivos para grupos de ciberespionaje y actores de ransomware.

CVE-2025-58034: una vulnerabilidad de inyección de comandos en explotación activa

El fallo CVE-2025-58034 ha sido clasificado como una vulnerabilidad de Neutralización Incorrecta de Elementos Especiales en comandos de SO (CWE-78), lo que permite que un atacante autenticado ejecute comandos arbitrarios en el sistema afectado. Esto incluye la capacidad de ejecutar código no autorizado mediante solicitudes HTTP especialmente elaboradas o a través de comandos enviados por la CLI del dispositivo.

CitarFortinet explicó en su aviso de seguridad:

"La vulnerabilidad puede permitir que un atacante autenticado ejecute código no autorizado en el sistema subyacente mediante solicitudes HTTP elaboradas o comandos CLI".

La empresa también confirmó que ya ha observado explotación activa "en la naturaleza", una notificación que eleva significativamente la urgencia de aplicar los parches disponibles.

Trend Micro declaró a BleepingComputer que ha detectado alrededor de 2.000 ataques relacionados con esta vulnerabilidad, lo que muestra un incremento rápido y preocupante en su explotación.

Riesgos asociados: accesos no autorizados, toma de control del sistema y movimientos laterales

Aunque se requiere autenticación para explotar la vulnerabilidad, el ataque es de baja complejidad y no requiere interacción del usuario. Esto lo convierte en un vector altamente atractivo para grupos maliciosos con acceso inicial, ya sea mediante credenciales robadas, ataques de fuerza bruta o compromiso previo de otros sistemas.

Una explotación exitosa permite:

• Ejecución de código arbitrario
• Acceso privilegiado al sistema subyacente
• Modificación de configuraciones críticas
• Instalación de puertas traseras
• Movimientos laterales dentro de la red

En organizaciones dependientes de FortiWeb, este tipo de ataque puede derivar en compromisos mayores, instalación de malware avanzado o exfiltración de datos sensibles.

Versiones afectadas y actualizaciones críticas

Fortinet ha lanzado múltiples actualizaciones urgentes para bloquear esta vulnerabilidad. Las versiones afectadas y sus soluciones son las siguientes:


Cualquier instalación que permanezca sin actualizar sigue siendo vulnerable y está en riesgo directo de explotación.

Un cero día previo también fue explotado: CVE-2025-64446

Este incidente no es aislado. Apenas la semana pasada, Fortinet confirmó que había corregido discretamente otro cero día crítico, CVE-2025-64446, descubierto por la empresa de inteligencia de amenazas Defused. Los atacantes estaban utilizando solicitudes HTTP POST para crear cuentas administrativas en dispositivos expuestos a Internet, una vulnerabilidad de impacto severo.

CISA añadió este fallo a su catálogo de vulnerabilidades explotadas activamente y ordenó a todas las agencias federales de EE. UU. corregir la vulnerabilidad antes del 21 de noviembre, destacando la gravedad del problema.

Fortinet aún no ha proporcionado respuestas adicionales sobre estos fallos, pese a los cuestionamientos enviados por BleepingComputer.

Fortinet bajo presión: historial reciente de vulnerabilidades explotadas

Durante los últimos meses, la tecnología de Fortinet ha sido blanco frecuente de ataques dirigidos. En agosto, la compañía tuvo que corregir CVE-2025-25256, otra vulnerabilidad de inyección de comandos con exploit público, presente en su solución FortiSIEM. Esta corrección se aplicó apenas un día después de que GreyNoise alertara sobre un aumento de ataques de fuerza bruta contra VPN SSL de Fortinet.

La situación refleja una tendencia preocupante: las vulnerabilidades de Fortinet suelen ser explotadas:

• Como cero días
• En ataques de ciberespionaje
• En campañas de ransomware
• En operaciones de acceso inicial por parte de grupos avanzados (APT)

Un ejemplo crítico fue revelado en febrero, cuando Fortinet confirmó que Volt Typhoon, un grupo chino vinculado a ciberespionaje estatal, explotó los fallos CVE-2022-42475 y CVE-2023-27997 para comprometer la red militar del Ministerio de Defensa de los Países Bajos mediante un RAT personalizado conocido como Coathanger.

Vulnerabilidad crítica que exige actualización inmediata

La explotación activa de CVE-2025-58034 pone en riesgo a miles de organizaciones a nivel global. Dado que los ataques ya están en marcha y que los exploits son de baja complejidad, actualizar FortiWeb es una prioridad absoluta.

Las organizaciones deben:

• Instalar los parches publicados por Fortinet sin demora
• Revisar accesos administrativos recientes
• Implementar monitoreo adicional en dispositivos perimetrales
• Realizar auditorías de seguridad para detectar compromisos previos

Con el historial reciente de zero days, Fortinet seguirá bajo la lupa, y los administradores deben estar más atentos que nunca ante cualquier anomalía.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login