La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha agregado una vulnerabilidad crítica de Fortinet Fortiweb a sus conocidos catálogo de vulnerabilidades explotadas (KEV), confirmando la explotación activa de la falla de inyección SQL en ciberataques en todo el mundo.
La vulnerabilidad, rastreada como CVE-2025-25257, afecta el firewall de aplicaciones web de Fortinet Fortiweb y conlleva un puntaje CVSS severo de 9.6 de 10.
La vulnerabilidad surge de la neutralización inadecuada de elementos especiales utilizados en los comandos SQL, lo que permite a los atacantes no autenticados ejecutar el código o comandos SQL no autorizados a través de solicitudes HTTP o HTTPS no autorizadas.
“Una neutralización inadecuada de elementos especiales utilizados en un comando SQL (‘inyección SQL’) (CWE-89) en Fortiweb puede permitir que un atacante no autenticado ejecute el código o comandos SQL inautorizados a través de solicitudes HTTP o HTTPS diseñadas”, explicó Fortinet en su asesoramiento.
La vulnerabilidad reside en el componente del conector de tela de Fortiweb, que sirve como un puente entre el firewall y otros productos de seguridad de Fortinet.
Los investigadores de seguridad descubrieron que los atacantes pueden explotar el defecto enviando solicitudes maliciosas a la forma final/API/Fabric/Device/Status con encabezados de autorización diseñados.
Campaña de explotación activa
Organización de monitoreo de ciberseguridad La Fundación Shadowserver ha identificado una explotación generalizada de la vulnerabilidad, informando 77 instancias de FortiWeb comprometidas a partir del 15 de julio de 2025. Esto representa una ligera disminución de 85 sistemas comprometidos detectados el día anterior.
Estamos compartiendo instancias de Fortinet Fortiweb comprometidas con WebShells probablemente a través de CVE-2025-25257. Vemos 77 casos en 2025-07-15, por debajo de 85 en 2025-07-14. CVE-2025-25257 Actividad de explotación observada desde el 11 de julio.
Descripción general del mapa del árbol (comprometido): https://t.co/ib95tif7fa pic.twitter.com/uhxapqkdpy
– La Fundación Shadowserver (@shadowserver) 16 de julio de 2025
La campaña de explotación comenzó el 11 de julio de 2025, coincidiendo con la liberación pública del código de explotación de prueba de concepto por parte de investigadores de seguridad en WatchToWr Labs. Esta rápida arma demuestra cuán rápido amenaza los actores pueden aprovechar las hazañas disponibles públicamente.
“Vemos 77 casos en 2025-07-15, por debajo de 85 al 2025-07-14. CVE-2025-25257 Actividad de explotación observada desde el 11 de julio”, informó la Fundación Shadowserver.
Los ataques implican la implementación de redes web en sistemas comprometidos, proporcionando acceso persistente de puerta trasera para los atacantes. Estados Unidos representa el mayor número de dispositivos comprometidos a los 40, seguido por los Países Bajos, Singapur y el Reino Unido.
Múltiples versiones de FortiWeb son vulnerables al ataque:
VersionAffectedSolutionfortiWeb 7.67.6.0 a 7.6.3Upgrade a 7.6.4 o por encima deFortiweb 7.47.4.0 a 7.4.7Upgrade a 7.4.8 o por encima de la fortiweb 7.27.2.0 a 7.2.10Upgrade a 7.2.11 o por encima deFortiweb 7.07.0.0 a 7.0.10 upgrade a 7.0.11 o por encima de
Fortinet lanzó parches de seguridad el 8 de julio de 2025 y confirmó el 18 de julio que se ha observado que la vulnerabilidad “se explota en la naturaleza en Fortiweb”.
CISA fuertemente impulso Todas las organizaciones para priorizar la remediación de esta vulnerabilidad, señalando que “este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal”.
Para las organizaciones que no pueden parchear inmediatamente, Fortinet recomienda deshabilitar la interfaz administrativa HTTP/HTTPS como una solución temporal. Además, 223 interfaces de gestión de fortiweb permanecen expuestas en línea, creando objetivos potenciales para un compromiso adicional6.
La vulnerabilidad fue revelada de manera responsable por Kentaro Kawane de la ciberseguridad transgénica por IERAE. Los expertos en seguridad enfatizan la importancia crítica de la implementación rápida de parches, especialmente para los electrodomésticos de seguridad orientados a Internet que sirven como barreras defensivas primarias contra las amenazas cibernéticas.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
