Docenas de instancias de Fortinet Fortiweb se han visto comprometidos con las redes web en una campaña de piratería generalizada, según la organización de monitoreo de amenazas The Shadowserver Foundation.
Los ataques están vinculados a una vulnerabilidad crítica, rastreados como CVE-2025-25257, para las que se liberaron los exploits de prueba de concepto público (POC) hace solo unos días.
Control de llave
1. Los atacantes comprometen activamente instancias de Fortinet Fortiweb con redes web al explotar una vulnerabilidad crítica de inyección SQL, rastreada como CVE-2025-25257.
2. La campaña comenzó alrededor del 11 de julio, inmediatamente después de que los investigadores de seguridad publicaron exploits de prueba de concepto público (POC), lo que facilita que los actores de amenaza armen el defecto.
3. La Fundación Shadowserver ha identificado 77 dispositivos comprometidos a partir del 15 de julio y advierte que más de 200 interfaces de gestión de fortiweb adicionales permanecen expuestas en línea, dejándolos muy vulnerables si no son ecológicos.
4. Fortinet ya ha publicado actualizaciones de seguridad e insta a los clientes a actualizar sus sistemas de inmediato o deshabilitar la interfaz administrativa para bloquear el vector de ataque y evitar el compromiso.
La Fundación Shadowserver informó el martes que había identificado 77 instancias de FortiWeb comprometidas, una ligera disminución de 85 el día anterior. La organización señaló que la explotación activa de la vulnerabilidad se ha observado desde el 11 de julio, el mismo día en que los investigadores pusieron a disposición públicamente el código de exploit.
Estamos compartiendo instancias de Fortinet Fortiweb comprometidas con WebShells probablemente a través de CVE-2025-25257. Vemos 77 casos en 2025-07-15, por debajo de 85 en 2025-07-14. CVE-2025-25257 Actividad de explotación observada desde el 11 de julio.
Descripción general del mapa del árbol (comprometido): https://t.co/ib95tif7fa pic.twitter.com/uhxapqkdpy
– La Fundación Shadowserver (@shadowserver) 16 de julio de 2025
La vulnerabilidad en el corazón de estos ataques, CVE-2025-25257, es una falla crítica de inyección SQL (SQLI) preautenticada en la interfaz gráfica de usuario Fortiweb.
Con un puntaje de gravedad CVSS de 9.6 de 10, el defecto permite a los atacantes no autenticados ejecutar código o comandos no autorizados de forma remota enviando solicitudes HTTP especialmente elaboradas.
Fortinet, un importante proveedor de ciberseguridad y firewall, utiliza el dispositivo FortiWeb como Firewall de aplicación web (WAF) para proteger las aplicaciones y API web para grandes empresas y agencias gubernamentales.
Fortinet reveló la vulnerabilidad el 8 de julio de 2025 y lanzó parches para abordarlo. El defecto, descubierto por el investigador de seguridad Kentaro Kawane de GMO CyberseCurity, reside en el conector de tela Fortiweb, un componente que integra el WAF con otros productos de seguridad Fortinet.
Sin embargo, el 11 de julio, la firma de ciberseguridad WatchToWr y uno de los co-descubradores de fallas publicaron las exploits de POC, aumentando drásticamente el riesgo de que las organizaciones que ejecutan versiones sin parches.
Los exploits demostraron cómo un atacante podría aprovechar la inyección de SQL para plantar una red web o abrir una carcasa inversa en un dispositivo vulnerable, otorgándoles acceso y control persistentes.
La ola actual de ataques confirma los temores de los expertos en ciberseguridad de que los actores de amenaza armarían rápidamente las hazañas públicas. Según Shadowserver, 223 interfaces de gestión de fortiweb adicionales permanecieron expuestas a Internet al 15 de julio.
Vemos 223 interfaces de gestión de fortiweb aún expuestas en 2025-07-15 (sin determinación del estado del parche, pero si no se agrupan para CVE-2025-25257, también es probable que esto también esté comprometido).
Descripción general del mapa del árbol (exposición):https://t.co/shwdxw0n0a pic.twitter.com/az8dlbp3vt
– La Fundación Shadowserver (@shadowserver) 16 de julio de 2025
Si bien su estado de parche no está confirmado, estos sistemas se consideran muy probables que se comprometen si no se han actualizado. Estados Unidos tiene el mayor número de dispositivos comprometidos a los 40, seguido por los Países Bajos, Singapur y el Reino Unido.
Fortinet tiene Clientes instados Para actualizar inmediatamente a versiones seguras, incluidas Fortiweb 7.6.4, 7.4.8, 7.2.11, o 7.0.11 y más tarde.
Para las organizaciones que no pueden aplicar los parches de inmediato, la compañía recomienda deshabilitar la interfaz administrativa HTTP/HTTPS como una solución temporal para bloquear el vector de ataque.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
