Los investigadores advierten que una vulnerabilidad crítica en Fortinet FortiWeb está bajo explotación activa, en medio de críticas de que la compañía emitió un parche silencioso para la falla a finales de octubre.
La vulnerabilidad relativa del recorrido del camino, rastreada como CVE-2025-64446puede permitir que un atacante no autenticado ejecute comandos administrativos en un sistema mediante solicitudes HTTP o HTTPS especialmente diseñadas. La vulnerabilidad tiene una puntuación de gravedad de 9,1.
El Agencia de Ciberseguridad y Seguridad de Infraestructuras el viernes agregó la falla a su catálogo de vulnerabilidades explotadas conocidas y también publicó orientación adicional el viernes por la tarde.
CISA publicó una guía adicional advirtiendo a los equipos de seguridad que deshabiliten HTTP o HTTPS para las interfaces conectadas a Internet si no pueden actualizar de inmediato. Los equipos de seguridad también deben inspeccionar los registros en busca de evidencia de la creación de cuentas de administrador no autorizadas.
CISA pidió a los equipos de seguridad que informaran a su centro de operaciones de cualquier incidente confirmado o actividad inusual.
Según varios investigadores, la versión parcheada 8.0.2 se lanzó el 28 de octubre, pero la compañía no publicó una guía oficial ni un CVE hasta el viernes pasado.
La vulnerabilidad «permite a los atacantes realizar acciones como un usuario privilegiado», dijo a Cybersecurity Dive Benjamin Harris, fundador y director ejecutivo de watchTowr. La actividad de explotación se ha centrado sobre «agregar una nueva cuenta de administrador como mecanismo básico de persistencia», agregó Harris.
Los investigadores de Shadowserver dijeron que están viendo unos cientos de casos en todo el mundo, pero no pueden obtener una respuesta. imagen clara de las instancias vulnerables en este momentodebido a su incapacidad para obtener una estimación precisa de forma segura y no intrusiva.
Una empresa llamada Defused publicó una prueba de concepto el 6 de octubre y advirtió que el exploit podría ser una variante de CVE-2022-40684.
Fortinet confirmó el viernes que era consciente de la vulnerabilidaddiciendo que activó sus esfuerzos de remediación y respuesta PSIRT tan pronto como se enteró de la actividad.
«Fortinet equilibra diligentemente nuestro compromiso con la seguridad de nuestros clientes y nuestra cultura de transparencia responsable», dijo un portavoz de Fortinet a Cybersecurity Dive. «Con ese objetivo y principio en mente, nos estamos comunicando directamente con los clientes afectados para asesorarlos sobre las acciones recomendadas necesarias».
La compañía no respondió cuando se le preguntó específicamente sobre las preocupaciones de la investigación sobre los parches silenciosos.
Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, señaló que Fortinet es una autoridad de numeración CVE, pero tiene un historial de emisión de parches silenciosos, y señaló que la práctica crea una enorme confusión en la comunidad de seguridad y puede dar una ventaja a los adversarios.
«Desafortunadamente, Fortinet también tiene un historial demostrable de parchear silenciosamente vulnerabilidades de seguridad antes de publicar CVE o avisos públicos», dijo Condon, «incluso en múltiples casos en los que la explotación comenzó antes de que las vulnerabilidades se anunciaran públicamente».
Fuente