Vulnerabilidad crítica en FortiWeb – Ejecución de comandos con cuenta autenticada

ciberseguridad
Empresas
Administración pública
Vulnerabilidades
Nivel de alerta
Alto

Fortinet ha publicado una alerta urgente tras confirmarse la explotación activa de una vulnerabilidad CVE-2025-58034 de Command Injection (CWE-78) en FortiWeb, su firewall de aplicaciones web.

El fallo permite que un atacante autenticado ejecute comandos del sistema o código arbitrario en el dispositivo afectado mediante peticiones HTTP manipuladas o a través de la interfaz CLI. Esto otorga privilegios de nivel sistema y permite comprometer por completo la integridad del dispositivo.

Las versiones afectadas incluyen:

  • 8.0.0 a 8.0.1
  • 7.6.0 a 7.6.5
  • 7.4.0 a 7.4.10
  • 7.2.0 a 7.2.11
  • 7.0.0 a 7.0.11

La vulnerabilidad ha sido incluida por CISA en su Known Exploited Vulnerabilities Catalog el 18 de noviembre de 2025, confirmando que está siendo utilizada activamente en ataques reales.

Impacto para las organizaciones en Galicia

  • Compromiso total del dispositivo FortiWeb, incluidas sus funciones de protección web.
  • Ejecución de código arbitrario, instalación de malware o backdoors.
  • Posible movimiento lateral hacia otros sistemas internos.
  • Escalada de privilegios y creación de cuentas administrativas.
  • Riesgo elevado si la consola o servicios están expuestos a Internet.

Recomendaciones inmediatas

1. Identificar todos los FortiWeb desplegados y revisar su versión de firmware.

2. Actualizar de inmediato a versiones no vulnerables:

  • 8.0.2 o superior
  • 7.6.6 o superior
  • 7.4.11 o superior
  • 7.2.12 o superior
  • 7.0.12 o superior

3. Si no es posible actualizar:

  • Restringir el acceso de administración.
  • Deshabilitar acceso HTTP/HTTPS desde Internet.

4. Revisar logs del sistema en busca de:

  • Comandos no habituales
  • Creación de nuevos usuarios
  • Cambios de configuración sospechosos

5. Aplicar segmentación de red y privilegios mínimos en los dispositivos de seguridad.

Resumen para responsables de TI y ciberseguridad

La CVE-2025-58034 representa un riesgo crítico y confirmado. La explotación activa en el mundo real indica que cualquier FortiWeb sin parche es un objetivo potencial. La actualización urgente y la revisión de logs son pasos obligatorios para evitar compromisos mayores dentro de la infraestructura.