Los investigadores de ciberseguridad están alertando sobre una vulnerabilidad de omisión de autenticación en Fortinet Fortiweb WAF que podría permitir a un atacante hacerse cargo de las cuentas de administrador y comprometer completamente un dispositivo.
“El equipo de watchTowr está viendo una explotación activa e indiscriminada de lo que parece ser una vulnerabilidad silenciosamente reparada en el producto FortiWeb de Fortinet”, dijo en un comunicado Benjamin Harris, CEO y fundador de watchTowr.
“Parcheada en la traducción 8.0.2, la vulnerabilidad permite a los atacantes realizar acciones como un sucesor privilegiado, y la explotación en estado salvaje se centra en anexar una nueva cuenta de administrador como mecanismo fundamental de persistencia para los atacantes”.
La empresa de ciberseguridad dijo que pudo reproducir con éxito la vulnerabilidad y crear una prueba de concepto (Poc) utilitario. Incluso ha osado una utensilio generadora de artefactos para la omisión de autenticación para ayudar a identificar dispositivos susceptibles.
Según los detalles compartidos por Defused y el investigador de seguridad Daniel Card de PwnDefend, se descubrió que el actor de amenazas detrás de la explotación envía una carga útil al “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” mediante una solicitud HTTP POST para crear una cuenta de administrador.
Algunos de los nombres de sucesor y contraseñas de administrador creados por las cargas efectos detectadas en la naturaleza se encuentran a continuación:
- Punto de prueba / AFodIUU3Sszp5
- comerciante1/3eMIXX43
- comerciante / 3eMIXX43
- prueba1234punto / AFT3$tH4ck
- Punto de prueba / AFT3$tH4ck
- Punto de prueba/AFT3$tH4ckmet0d4yaga!n
Se desconocen los orígenes y la identidad del actor amenazador detrás de los ataques. La actividad de explotación fue detectado por primera vez principios del mes pasado. Al momento de escribir este artículo, Fortinet no ha asignado un identificador CVE ni ha publicado un aviso en su feed PSIRT.
The Hacker News se comunicó con Fortinet para solicitar comentarios y actualizaremos la historia si recibimos una respuesta.
Rapid7, que insta a las organizaciones que ejecutan versiones de Fortinet FortiWeb anteriores a 8.0.2 a acometer la vulnerabilidad de forma urgente, dijo que observó que un supuesto exploit de día cero dirigido a FortiWeb se publicó para la liquidación en un popular foro de sombrero indignado el 6 de noviembre de 2025. Actualmente no está claro si es el mismo exploit.
“Mientras esperamos un comentario de Fortinet, los usuarios y las empresas se enfrentan ahora a un proceso usual: busque signos triviales de compromiso previo, comuníquese con Fortinet para obtener más información y aplique parches si aún no lo ha hecho”, dijo Harris. “Dicho esto, dada la explotación indiscriminada observada (…), los aparatos que no han sido parcheados probablemente ya estén comprometidos.”
