2.000 ataques contra FortiWeb: solo el comienzo — un nuevo zero‑day se ha convertido en el objetivo principal de los ciberdelincuentes

En los últimos días se hizo evidente que en FortiWeb se habían acumulado problemas sobre los que el fabricante prefería no hablar con antelación. Tras reconocer Fortinet la explotación activa de la vulnerabilidad crítica CVE-2025-64446, que permite a atacantes ejecutar comandos administrativos sin autorización, la empresa se vio obligada a confirmar otro defecto peligroso: esta vez relacionado con la ejecución de comandos del sistema después de iniciar sesión en la interfaz del dispositivo.

Los especialistas de Trend Micro descubrieron una vulnerabilidad, que más tarde recibió el identificador CVE-2025-58034, y fue esta información la que motivó la nueva alerta urgente. El fabricante indicó que se registraron ataques en dispositivos reales, lo que requirió la aceleración del lanzamiento de actualizaciones.

La vulnerabilidad CVE-2025-58034 está relacionada con la ejecución de código arbitrario mediante solicitudes HTTP especialmente diseñadas o comandos en la CLI. La vulnerabilidad corresponde a la categoría de inyección de instrucciones del sistema, y un atacante que la aproveche puede ejecutar operaciones arbitrarias en el sistema operativo del dispositivo si consigue acceso a credenciales legítimas. Actualizar FortiWeb a la versión vigente bloquea la posibilidad de tales manipulaciones, lo que el fabricante recomienda hacer de inmediato. Según Trend Micro, ya se han registrado alrededor de 2000 intentos de explotación en infraestructuras de clientes.

Para las agencias federales de Estados Unidos la situación motivó una advertencia separada: CISA añadió el defecto encontrado al catálogo de vulnerabilidades conocidas explotadas y exigió instalar la corrección en un plazo de 7 días. Ese plazo se considera estricto: normalmente se asignan 15 días para corregir errores críticos y 30 días para problemas menos peligrosos. La agencia subrayó que esa categoría de defectos es utilizada regularmente por atacantes y conlleva riesgos graves para los recursos gubernamentales.

Permanece abierta la cuestión de la relación entre la reciente CVE-2025-64446 y el nuevo incidente. La primera vulnerabilidad permite eludir la autenticación y ejecutar operaciones de gestión en FortiWeb sin iniciar sesión en la interfaz; la segunda permite ejecutar comandos ya después de iniciar sesión. Aunque en la documentación de Fortinet no hay una indicación directa de relación, los analistas técnicos de Rapid7 observan que la cercanía temporal de las publicaciones, la corrección discreta y previa de ambas fallas por parte del fabricante y la evidente utilidad de la combinación «eludir la autenticación» + «ejecución de comandos del sistema» hacen que esa cadena sea casi inevitable. En su opinión, el conjunto de estas dos fallas podría emplearse en ataques para la ejecución remota no autorizada de código (ejecución remota de código (RCE)).

En Trend Micro explicaron que la investigación se realizó durante el análisis de un problema antiguo en FortiWeb, y durante la verificación se descubrió que usuarios autenticados pueden ejecutar instrucciones del sistema a través de la interfaz web. Esa posibilidad abre el camino para tomar el control del dispositivo y para una mayor intrusión en la red si las correcciones no se instalaron a tiempo. El equipo watchTowr, incluso antes del reconocimiento oficial de Fortinet, había detectado intentos masivos de explotación de CVE-2025-64446, lo que solo refuerza las sospechas de que se trata de un problema sistémico.

Por el momento no se ha precisado qué grupos o atacantes individuales están usando la nueva vulnerabilidad, ni se ha revelado la magnitud de las consecuencias.