Exploit de zero-day en Fortinet provoca ejecución remota

Fortinet ha confirmado que existe una vulnerabilidad crítica sin parche (zero-day) en sus productos FortiOS y FortiProxy, identificada como CVE-2025-24472, que está siendo explotada en entornos reales.

Tipo de vulnerabilidad: Es una falla de bypass de autenticación (CWE-288) que permite a un atacante malicioso obtener privilegios de superadministrador en el sistema. Esto se logra mediante solicitudes especialmente manipuladas en el módulo de proxy CSF o en el módulo WebSocket de Node.js
Productos afectados:
- FortiVoice 7.2.1+, 7.0.7+ o 6.4.11+;
- FortiMail 7.6.3+, 7.4.5+, 7.2.8+ o 7.0.9+;
- FortiNDR 7.6.1+, 7.4.8+, 7.2.5+ o 7.0.7+;
- FortiRecorder 7.2.4+, 7.0.6+ o 6.4.6+; y
- FortiCamera 2.1.4+.
Explotación activa: Investigadores han detectado explotación activa, donde atacantes crean cuentas administrativas no autorizadas, acceden a VPN de SSL y modifican las configuraciones del firewall para acceder a redes internas

Prueba de concepto (PoC)

Se ha publicado un PoC exploit en varios canales, lo que facilita que otros atacantes repliquen el ataque
El exploit aprovecha directamente la falla para tomar control administrativo sin necesidad de credenciales válidas.

Medidas de mitigación y estado actual

Actualización inmediata:
- Se ha lanzado un parche: actualizar a FortiOS 7.0.17 o superior, y FortiProxy 7.0.20 o 7.2.13 en adelante
Inclusión en catálogo CISA KEV:
- CISA ha incluido esta vulnerabilidad en su Catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), instando la corrección inmediata
Contención temporal:
- Se recomienda deshabilitar el acceso HTTP/HTTPS a la interfaz de administración del firewall o limitar el acceso por IP mediante políticas locales (“local-in”)

Recomendaciones finales

Aplicar los parches cuanto antes: FortiOS ≥ 7.0.17, FortiProxy ≥ 7.0.20/7.2.13.
Monitorear actividad sospechosa: creación de cuentas no autorizadas, cambios en políticas de firewall, conexiones inusuales en SSL VPN.
Fortalecer accesos administrativos: limitar IPs permitidas, usar autenticación multifactor y evitar exposición directa a Internet.

Google confirma que un fallo en los chips gráficos de Qualcomm está siendo explotado activamente

03/03/2026

El boletín de seguridad de marzo llega cargado: 129 vulnerabilidades parcheadas, incluyendo un RCE crítico que no requiere interacción del usuario y un fallo de

La red “D-Shortiez” secuestra el botón de retroceso en los iPhone de 300 millones de usuarios

03/03/2026

Un astuto grupo de malvertising ha descubierto cómo abusar de una peculiaridad en Safari para bloquear las salidas de emergencia de los usuarios. Cuando intentas volver atrás,

De infectar routers caseros a secuestrar plataformas de automatización corporativa

03/03/2026

La famosa red de bots ha abandonado su código original para volverse más sigilosa y letal, y ahora aprovecha vulnerabilidades críticas para abrir rutas directas hacia las

Exploit de zero-day en Fortinet provoca ejecución remota

Prueba de concepto (PoC)

Medidas de mitigación y estado actual

Recomendaciones finales

Related Post

Google confirma que un fallo en los chips gráficos de Qualcomm está siendo explotado activamente

La red “D-Shortiez” secuestra el botón de retroceso en los iPhone de 300 millones de usuarios

De infectar routers caseros a secuestrar plataformas de automatización corporativa