Fortinet lanzó hoy actualizaciones de seguridad para corregir CVE-2025-58034, una vulnerabilidad de OS Command Injection en FortiWeb que ya está siendo explotada activamente por actores de amenazas.
El fallo, reportado por Jason McFadyen del equipo de investigación de Trend Micro, permite a un atacante autenticado ejecutar código arbitrario en el sistema afectado mediante peticiones HTTP manipuladas o comandos enviados vía CLI. El ataque es de baja complejidad y no requiere interacción del usuario, lo que incrementa considerablemente su riesgo operativo.
Detalles técnicos de CVE-2025-58034
La vulnerabilidad está clasificada como un error de “Improper Neutralization of Special Elements in OS Command” (CWE-78).
Según Fortinet, un atacante con acceso autenticado puede lograr ejecución remota de comandos en el dispositivo subyacente, comprometiendo la integridad del WAF y potencialmente el entorno protegido.
Trend Micro confirmó que ha detectado alrededor de 2,000 ataques que intentan explotar activamente este zero-day en escenarios reales.
Versiones afectadas y actualizaciones disponibles
Fortinet recomienda actualizar inmediatamente a las versiones liberadas hoy:
| Versión FortiWeb | Versiones afectadas | Solución |
|---|---|---|
| 8.0 | 8.0.0 – 8.0.1 | Actualizar a 8.0.2 o superior |
| 7.6 | 7.6.0 – 7.6.5 | Actualizar a 7.6.6 o superior |
| 7.4 | 7.4.0 – 7.4.10 | Actualizar a 7.4.11 o superior |
| 7.2 | 7.2.0 – 7.2.11 | Actualizar a 7.2.12 o superior |
| 7.0 | 7.0.0 – 7.0.11 | Actualizar a 7.0.12 o superior |
La compañía subraya que los administradores deben aplicar los parches inmediatamente para bloquear intentos de explotación activa.
Otro zero-day reciente: CVE-2025-64446
Este incidente llega una semana después de que Fortinet confirmara que había corregido silenciosamente otro zero-day altamente explotado en FortiWeb, CVE-2025-64446, parcheado el 28 de octubre, tres semanas después del reporte inicial de explotación por la firma Defused.
Ese exploit permitía a atacantes crear cuentas administrativas nuevas mediante peticiones HTTP POST en dispositivos expuestos a Internet.
La vulnerabilidad fue agregada por CISA a su catálogo de fallos explotados activamente, exigiendo a agencias federales asegurar sus sistemas antes del 21 de noviembre.
Contexto: Fortinet sigue siendo un objetivo constante
El ecosistema Fortinet ha sido blanco recurrente de explotación zero-day en operaciones de espionaje y campañas de ransomware. En agosto, la compañía corrigió otra vulnerabilidad de command injection (CVE-2025-25256) en FortiSIEM, con exploit público disponible.
Además, en febrero, Fortinet confirmó que el grupo chino Volt Typhoon explotó vulnerabilidades en FortiOS SSL VPN (CVE-2022-42475 y CVE-2023-27997) para infiltrar y backdoorizar redes críticas, incluyendo sistemas del Ministerio de Defensa de los Países Bajos mediante el malware Coathanger RAT.
Recomendaciones para organizaciones
Actualizar inmediatamente todos los dispositivos FortiWeb afectados.
Verificar logs de actividad y accesos administrativos recientes.
Implementar controles de segmentación y monitoreo de configuraciones.
Auditar exposición de interfaces administrativas a Internet.
Revisar reglas y políticas del WAF ante posible manipulación.
