Los investigadores de ciberseguridad alertan sobre una vulnerabilidad de elusión de autenticación en Fortinet Fortiweb WAF que podría permitir a un atacante hacerse con el control de las cuentas de administrador y comprometer por completo un dispositivo.
«El equipo de WatchTowr está viendo cómo se explota de forma activa e indiscriminada lo que parece ser una vulnerabilidad parcheada silenciosamente en el producto FortiWeb de Fortinet», dijo Benjamin Harris, CEO y fundador de WatchTowr, en un comunicado.
«Parcheado versión 8.0.2 , la vulnerabilidad permite a los atacantes realizar acciones como usuarios privilegiados, y la explotación habitual se centra en añadir una nueva cuenta de administrador como mecanismo básico de persistencia para los atacantes».
La empresa de ciberseguridad dijo que pudo reproducir la vulnerabilidad y cree una prueba de concepto (Poc) funcional. También tiene publicado una herramienta generadora de artefactos para eludir la autenticación a fin de ayudar a identificar los dispositivos susceptibles.
Según los detalles compartido del investigador de seguridad y Defused Daniel Card de PwnDefend, se ha descubierto que el actor de amenazas detrás de la explotación envía una carga útil a «/API/v2.0/cmdb/System/Admin%3F/../../../../../../.. /cgi-bin/fwbcgi "mediante una solicitud HTTP POST para crear una cuenta de administrador.
A continuación se muestran algunos de los nombres de usuario y contraseñas de administrador creados por las cargas útiles detectadas en estado salvaje:
- Punto de prueba//AfoDiuu3sszp5
- trader1/3 de Mixx43
- comerciante//3emixx43
- test1234point//AFT3$th4ck
- Punto de prueba//AFT3$th4ck
- Testpoint//AFT3$th4ckmet0d4yaga! n
Se desconocen los orígenes y la identidad del actor de la amenaza detrás de los ataques. La actividad de explotación fue detectado por primera vez principios del mes pasado. Al momento de escribir este artículo, Fortinet no ha asignado un identificador CVE ni ha publicado ningún aviso en su feed PSIRT.
The Hacker News se ha puesto en contacto con Fortinet para solicitar comentarios, y actualizaremos la historia si recibimos noticias.
Rapid7, que insta a las organizaciones que utilizan versiones de Fortinet FortiWeb anteriores a la 8.0.2 a abordar la vulnerabilidad de forma urgente, dijo observó que un supuesto ataque de día cero dirigido a FortiWeb se publicó a la venta en un popular foro de Black Hat el 6 de noviembre de 2025. Actualmente no está claro si se trata del mismo exploit.
«Mientras esperamos un comentario de Fortinet, los usuarios y las empresas se enfrentan ahora a un proceso conocido: buscar señales triviales de compromiso previo, contactar con Fortinet para obtener más información y aplicar parches si aún no lo han hecho», dijo Harris. «Dicho esto, dada la explotación indiscriminada observada [...], es probable que los dispositivos que no hayan sido reparados ya estén en peligro».