Fortinet publicó finalmente una advertencia oficial sobre CVE-2025-64446, una vulnerabilidad crítica de path traversal en FortiWeb que permite a atacantes no autenticados ejecutar comandos administrativos y tomar control total del dispositivo.
Aunque el parche llegó con la versión 8.0.2, el fallo no recibió CVE hasta mediados de noviembre —a pesar de que la explotación ya estaba activa desde principios de octubre, según múltiples equipos de investigación.
Parche tardío, explotación temprana
La Agencia de Ciberseguridad de Estados Unidos (CISA) añadió el fallo a su catálogo de vulnerabilidades explotadas en la vida real el mismo día que Fortinet lo hizo público.
Sin embargo, investigadores señalan que un Proof of Concept (PoC) circulaba desde inicios de octubre, y que muchos atacantes se adelantaron semanas al reconocimiento oficial del proveedor.
Cómo explotan los atacantes el fallo
La vulnerabilidad permite que un actor remoto ejecute acciones como si fuera un administrador. En los ataques observados, los intrusos se centraron en:
Crear nuevas cuentas de administrador
Mantener persistencia sin levantar alertas
Manipular la configuración del firewall web
Al menos 80,000 dispositivos FortiWeb están expuestos públicamente en internet, lo que amplifica el riesgo. Los investigadores advierten que los equipos que no hayan aplicado el parche probablemente ya estén comprometidos.
Cronología: del PoC a la explotación masiva
El 6 de octubre, la firma de ciber-decepción Defused informó que uno de sus honeypots capturó el exploit antes siquiera de existir un CVE asignado.
Posteriormente, Rapid7 documentó:
Un PoC a la venta en mercados clandestinos el 6 de noviembre
Explotación activa desde principios de octubre
Que el bug funcionaba contra versiones anteriores, como 8.0.1, pero no contra la más reciente
Los investigadores sugieren que el parche en 8.0.2 podría haber corregido el fallo de manera accidental, lo que habría permitido a los actores de amenaza identificarlo mediante análisis de cambios en el software.
¿Actualización accidental o parche silencioso?
Investigadores plantearon dos posibles escenarios:
El parche fue accidental, derivado de un cambio rutinario en el código, y los actores de amenaza identificaron la vulnerabilidad al analizar la actualización.
Fortinet aplicó un parche silencioso para un fallo conocido internamente, sin advertir a su base de clientes hasta que la explotación se volvió imposible de ignorar.
Fortinet, al ser consultado, evitó responder preguntas sobre el alcance de los ataques o cuándo comenzaron, y se limitó a afirmar que activaron su proceso PSIRT tan pronto como detectaron el problema.
Implicaciones para organizaciones en LATAM
Para empresas que dependen de FortiWeb como parte de su defensa de aplicaciones web, este caso resalta riesgos clave:
Retrasos en divulgación pueden dejar a organizaciones expuestas por semanas
Los actores de amenaza monitorean cambios en actualizaciones para descubrir fallos ocultos
Los parches silenciosos crean una falsa sensación de seguridad
Equipos desactualizados pueden haber sido comprometidos antes de existir alertas oficiales
Recomendaciones inmediatas
Fortinet aconseja seguir la guía del boletín FG-IR-25-910, mientras que los investigadores independientes recomiendan:
Actualizar a FortiWeb 8.0.2 de inmediato
Revisar logs en busca de creación de cuentas sospechosas
Auditar integridad de configuraciones y políticas
Realizar escaneo interno de dispositivos potencialmente comprometidos
Implementar monitoreo continuo sobre equipos perimetrales
