Fortinet FortiWeb es una solución de Web Application Firewall (WAF) distribuida en el perímetro de la red para proteger aplicaciones web críticas contra una amplia gama de ciberataques. Debido a su ubicación estratégica, a menudo está expuesto a Internet, convirtiéndose en un objetivo de alto valor para los actores de amenazas que buscan comprometer la seguridad perimetral de una organización.

Esta vulnerabilidad presenta un riesgo crítico, ya que permite a un atacante remoto y no autenticado obtener el control administrativo total sobre el dispositivo FortiWeb. Un exploit exitoso conduce a la vulneración completa del sistema, permitiendo al atacante desactivar las protecciones de seguridad, interceptar datos confidenciales y utilizar el dispositivo como punto de acceso para ataques adicionales a la red interna.

Aunque actualmente no hay informes públicos de explotación activa de CVE-2025-64446, existe un exploit público disponible. Esto aumenta significativamente la probabilidad de ataque, ya que la barrera de entrada para posibles amenazas es muy baja. Todas las organizaciones que utilizan las versiones afectadas, especialmente aquellas con interfaces de gestión expuestas a Internet, están en riesgo inmediato y deben actuar con urgencia.

Producto	Fortinet FortiWeb
Fecha	2025-12-06 12:22:11

Resumen técnico

La causa principal de esta vulnerabilidad es una CWE-22: Limitación inadecuada de una ruta a un directorio restringido (‘Path Traversal’). La interfaz de gestión de FortiWeb no logra sanitizar correctamente la entrada proporcionada por los usuarios dentro de las solicitudes HTTP y HTTPS, permitiendo que un atacante utilice secuencias de recorrido de ruta (ej. ../) para salir del directorio raíz web limitado.

La cadena de ataque puede resumirse de la siguiente manera:

1. Un atacante no autenticado envía una solicitud HTTP/S especialmente diseñada a un dispositivo FortiWeb expuesto.
2. La solicitud apunta a un endpoint de API no especificado e incluye secuencias de recorrido de ruta en un parámetro.
3. El software subyacente no neutraliza estas secuencias, otorgando al atacante acceso de lectura/escritura a archivos arbitrarios en el sistema de archivos.
4. Al acceder y ejecutar scripts o binarios administrativos a nivel de sistema, el atacante obtiene la ejecución remota de código con los privilegios del proceso del servidor web, que opera como administrador.

Versiones afectadas:

• FortiWeb 8.0: versiones de 8.0.0 a 8.0.1
• FortiWeb 7.6: versiones de 7.6.0 a 7.6.4
• FortiWeb 7.4: versiones de 7.4.0 a 7.4.9
• FortiWeb 7.2: versiones de 7.2.0 a 7.2.11
• FortiWeb 7.0: versiones de 7.0.0 a 7.0.11

Fortinet ha lanzado parches para todas las ramas afectadas. Un exploit exitoso permite a un atacante tomar el control total del dispositivo, transformándolo en un agente hostil en el perímetro de la red.

Recomendaciones

• Aplicar parches inmediatamente: Actualizar todos los dispositivos FortiWeb afectados a la versión parcheada más reciente proporcionada por Fortinet para su línea de lanzamiento.
• Medidas de mitigación: Como medida temporal, si no es posible aplicar el parche inmediatamente, limite todo el acceso a la interfaz de gestión de FortiWeb a una red interna dedicada y segura. No exponga la interfaz de gestión a Internet. Utilice listas de control de acceso (ACL) en los dispositivos ascendentes para reforzar esta limitación.
• Caza y monitoreo:
  • Verifique los registros de acceso web del dispositivo FortiWeb en busca de solicitudes que contengan secuencias de recorrido de ruta como ../, ..%2f, %2e%2e/ y sus variantes codificadas.
  • Monitoree cualquier conexión de red saliente anómala originada desde el dispositivo FortiWeb, lo que podría indicar una vulneración exitosa y comunicaciones con un servidor de comando y control (C2).
  • Busque la creación de archivos inesperados o procesos activos con privilegios administrativos en el dispositivo.

• Respuesta a incidentes: Si se sospecha una vulneración, aísle inmediatamente el dispositivo FortiWeb afectado de la red para prevenir movimientos laterales. Conserve todos los registros, imágenes de disco y archivos de configuración para un análisis forense. Asuma que todo el tráfico que transitó por el WAF puede haber sido comprometido e inicie una investigación exhaustiva del incidente.
• Defensa en profundidad: Asegúrese de que la segmentación de la red esté implementada para limitar el impacto de un dispositivo perimetral comprometido. Realice copias de seguridad periódicas de las configuraciones del appliance para facilitar una recuperación rápida en caso de un incidente de seguridad.

[Callforaction-THREAT-Footer]