Esta vulnerabilidad permite que un atacante remoto no autenticado ejecute código o comandos arbitrarios mediante el envío de peticiones especialmente manipuladas a través de la red. La explotación exitosa puede derivar en el compromiso completo del sistema afectado.
En el momento de su publicación, no dispone todavía de identificador CVE asignado, si bien la severidad se considera crítica debido a la posibilidad de compromiso sin autenticación previa.
Sistemas y entornos con mayor riesgo
El impacto es especialmente relevante en organizaciones que utilicen:
- Firewalls Fortinet expuestos a red
- Entornos SASE
- Herramientas de gestión centralizada de switches
- Interfaces de administración accesibles desde redes no confiables
Versiones afectadas y corrección
Se ven afectadas múltiples ramas de FortiOS, FortiSwitchManager y FortiSASE.
Se recomienda actualizar a las versiones corregidas o superiores indicadas por el fabricante:
- FortiOS 7.6 → actualizar a 7.6.4 o superior
- FortiOS 7.4 → actualizar a 7.4.9 o superior
- FortiOS 7.2 → actualizar a 7.2.12 o superior
- FortiOS 7.0 → actualizar a 7.0.18 o superior
- FortiOS 6.4 → actualizar a 6.4.17 o superior
- FortiSASE 25.2.b → corregido en 25.2.c
- FortiSwitchManager 7.2 → actualizar a 7.2.7 o superior
- FortiSwitchManager 7.0 → actualizar a 7.0.6 o superior
Se recomienda verificar las versiones exactas desplegadas y seguir las rutas de actualización oficiales.
Medidas de mitigación temporales (si no es posible actualizar de inmediato)
Mientras no se aplique el parche correspondiente, se recomienda implementar medidas de mitigación temporales para reducir la superficie de exposición.
Estas medidas no eliminan la vulnerabilidad, pero reducen el riesgo de explotación.
1. Deshabilitar el acceso “fabric” en las interfaces expuestas
Eliminar el acceso fabric de las interfaces de gestión accesibles desde red, manteniendo únicamente los accesos estrictamente necesarios desde redes de confianza (por ejemplo, HTTPS o SSH).
Ejemplo de configuración:
config system interface
edit "port1"
set allowaccess ssh https
next
end
Esta configuración elimina el acceso fabric de la interfaz indicada.
Debe adaptarse a cada entorno y aplicarse únicamente por personal técnico cualificado.
2. Bloquear el tráfico CAPWAP-CONTROL
Restringir el tráfico CAPWAP-CONTROL (UDP puertos 5246 a 5249) mediante políticas local-in, permitiendo únicamente direcciones IP de confianza y bloqueando el resto del tráfico.
3. Restringir y segmentar las interfaces de administración
- Evitar la exposición directa de interfaces de gestión a Internet.
- Aplicar segmentación de red y listas de control de acceso.
- Limitar el acceso exclusivamente a redes y sistemas autorizados.
4. Monitorización y detección
- Supervisar los registros del sistema en busca de actividad anómala asociada al servicio cw_acd.
- Revisar accesos, errores y eventos inusuales en interfaces de administración.
Recomendaciones adicionales
- Priorizar la actualización inmediata de los sistemas afectados.
- Revisar la exposición de las interfaces de gestión.
- Aplicar principios de mínimo privilegio y defensa en profundidad.
- Mantener una política activa de gestión de parches.
- Evaluar posibles indicadores de compromiso si los sistemas han estado expuestos.
Conclusión
Esta vulnerabilidad pone de manifiesto la importancia de:
- Mantener los dispositivos de seguridad correctamente actualizados.
- Reducir la superficie de exposición de los sistemas críticos.
- No asumir que los dispositivos perimetrales están exentos de vulnerabilidades graves.
Se recomienda actuar con la máxima urgencia para reducir el riesgo de explotación.
