Vulnerabilidad Crítica En Fortinet FortiWeb Ya Es Explotada En Entornos Reales

Una vulnerabilidad crítica en Fortinet FortiWeb está siendo explotada activamente en entornos reales. El fallo permite que un atacante no autenticado cree cuentas tipo «admin» en dispositivos vulnerables, obteniendo acceso total tanto al panel de administración como a la CLI accesible vía WebSocket.

El vector de ataque observado consiste en el envío de peticiones HTTP POST hacia un endpoint que incluye una secuencia de path traversal:

/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi

Esta secuencia permite evadir la autenticación y acceder a cgi-bin/fwbcgi, lo que posibilita la creación de cuentas con privilegios de tipo “admin”. Una vez creada la cuenta maliciosa, el atacante puede autenticarse con permisos de administrador completos.

Los investigadores de watchTowr publicaron una prueba de concepto (PoC) que demuestra el proceso de explotación: https://x.com/watchtowrcyber/status/1989017336632996337.

Versiones afectadas y parches disponibles

Según el aviso oficial de Fortinet, las versiones afectadas y sus respectivas correcciones son:

8.0.0 a 8.0.1 → corregido en 8.0.2
7.6.0 a 7.6.4 → corregido en 7.6.5
7.4.0 a 7.4.9 → corregido en 7.4.10
7.2.0 a 7.2.11 → corregido en 7.2.12
7.0.0 a 7.0.11 → corregido en 7.0.12

Fortinet también publicó pasos de remediación y mitigaciones: deshabilitar temporalmente el acceso HTTP o HTTPS en las interfaces expuestas a Internet hasta poder aplicar la actualización correspondiente. Tras actualizar, se aconseja revisar la configuración y los registros del dispositivo para detectar cambios inesperados o la creación de cuentas de administrador no autorizadas.