Los investigadores de ciberseguridad han advertido que Fortinet Fortiweb WAF tiene una vulnerabilidad de omisión de autenticación que podría permitir a un atacante hacerse cargo de la cuenta de administrador y comprometer completamente el dispositivo.
«El equipo de watchTowr ha observado una explotación activa e indiscriminada de vulnerabilidades que parecen haber sido parcheadas silenciosamente en los productos FortiWeb de Fortinet», dijo en un comunicado Benjamin Harris, CEO y fundador de watchTowr.
«Esta vulnerabilidad, parcheada en la versión 8.0.2, permite a un atacante realizar acciones como un usuario privilegiado. El exploit real se centra en agregar una nueva cuenta de administrador como mecanismo básico de persistencia para el atacante».
La empresa de ciberseguridad dijo que pudo reproducir la vulnerabilidad y crear una prueba de concepto (POC) funcional. También lanzamos una herramienta de generación de artefactos de omisión de autenticación para ayudar a identificar dispositivos susceptibles.
Según los detalles compartidos por Daniel Card, investigador de seguridad y Defused de PwnDefend, se descubrió que el atacante detrás de este exploit enviaba una carga útil a «/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi» a través de una solicitud HTTP POST para crear una cuenta de administrador.
Algunos de los nombres de usuario y contraseñas de administrador creados por cargas útiles detectadas en la naturaleza son:
Punto de prueba / AFodIUU3Sszp5 trader1 / 3eMIXX43 trader / 3eMIXX43 test1234point / AFT3$tH4ck punto de prueba / AFT3$tH4ck punto de prueba / AFT3$tH4ckmet0d4yaga!n
Se desconocen el origen y la identidad de los atacantes detrás del ataque. El exploit se detectó por primera vez a principios del mes pasado. Al momento de escribir este artículo, Fortinet no ha asignado un identificador CVE ni ha publicado ningún aviso en el feed PSIRT.
Hacker News se comunicó con Fortinet para solicitar comentarios y actualizará el artículo si recibimos respuesta.
Rapid7, que está pidiendo a las organizaciones que ejecutan versiones de Fortinet FortiWeb anteriores a la 8.0.2 que aborden urgentemente esta vulnerabilidad, dijo que confirmó que un presunto exploit de día cero dirigido a Fortinet se comercializó en un popular foro blackhat el 6 de noviembre de 2025. No está claro en este momento si se trata del mismo exploit.
«Mientras esperamos comentarios de Fortinet, los usuarios y las empresas ahora se enfrentan al proceso familiar de buscar signos sutiles de una infracción anterior, contactar a Fortinet para obtener más información y parchearlos si aún no lo han hecho», dijo Harris. «Sin embargo, dada la explotación indiscriminada observada (…), es posible que los aparatos sin parches ya estén comprometidos.»
Source link
