Una nueva vulnerabilidad en Fortinet FortiWeb está siendo activamente explotada por atacantes. El fallo permite evadir por completo la autenticación y tomar control administrativo de los dispositivos afectados.
Fortinet corrigió el problema en la versión 8.0.2, sin embargo, los intentos de explotación ya están circulando en internet.
¿Qué está pasando?
Durante las primeras semanas de octubre, investigadores detectaron actividad sospechosa contra dispositivos FortiWeb expuestos a internet. También confirmaron ataques reales después de que su honeypot capturara intentos de explotación.
Posteriormente, el 6 de octubre de 2025, los investigadores publicaron un Proof-of-Concept (PoC) que detalla cómo los actores de amenaza están abusando del fallo.
El laboratorio watchTowr también verificó la vulnerabilidad, compartió un video del exploit y lanzó una herramienta llamada “FortiWeb Authentication Bypass Artifact Generator”, diseñada para probar la falla creando cuentas de administrador con nombres aleatorios.
¿Cómo funciona la explotación?
El ataque se basa en un HTTP POST dirigido a un endpoint vulnerable:
/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi
Este endpoint permite colarse entre las verificaciones de autenticación y enviar un payload para crear una nueva cuenta administradora sin necesidad de credenciales válidas.
El investigador Daniel Card confirmó que múltiples actores están utilizando este mismo patrón. Incluso compartió algunos nombres de usuario y contraseñas extraídas de ataques en la naturaleza:
| Usuario | Contraseña |
| Testpoint | AFodIUU3Sszp5 |
| trader1 | 3eMIXX43 |
| trader | 3eMIXX43 |
| test1234point | AFT3$tH4ck |
| Testpoint | AFT3$tH4ck |
| Testpoint | AFT3$tH4ckmet0d4yaga!n |
Aunque Card aclaró que no publicaría detalles completos del exploit por seguridad, sí indicó que la actividad es masiva y continua.
¿Quién está DETRÁS?
Por ahora no está claro qué grupo o actor está explotando la vulnerabilidad.
El 6 de noviembre de 2025, investigadores detectaron en un foro clandestino la venta de un supuesto zero-day para FortiWeb, lo que podría estar relacionado con esta campaña, aunque aún no hay confirmación.
FortiWeb se utiliza en organizaciones de todos los tamaños para proteger aplicaciones web críticas.
Un atacante con acceso administrativo puede:
- Desactivar protecciones.
- Redirigir tráfico.
- Instalar puertas traseras.
- Moverse lateralmente dentro del entorno.
- Comprometer infraestructura sensible.
En pocas palabras: es una vulnerabilidad con impacto total en el dispositivo.
¿Qué hacer ahora?
- Actualizar inmediatamente a la versión FortiWeb 8.0.2 o superior.
- Revisar logs en busca de intentos de acceso al endpoint vulnerable.
- Validar si existen nuevas cuentas de administrador no autorizadas.
- Implementar monitoreo adicional sobre dispositivos expuestos a internet.
- Considerar bloquear temporalmente el acceso público al panel de administración.
