Con dos exploits de prueba de concepto (PoC) hechos públicos la semana pasada, se espera que CVE-2025-25257, una vulnerabilidad crítica de inyección de comandos SQL en el firewall de aplicaciones web FortiWeb de Fortinet, sea aprovechada por atacantes pronto.
Acerca de CVE-2025-25257
CVE-2025-25257 se encuentra en Fabric Connector de FortiWeb, el software que permite a FortiWeb comunicarse con otros productos de seguridad de Fortinet (por ejemplo, firewalls FortiGate, FortiSandbox, etc.).
La falla se debe a que la solución no logra neutralizar adecuadamente los elementos especiales y, si se activa, puede permitir que atacantes no autenticados logren la ejecución remota de código con privilegios de root , ejecutando comandos/código SQL no autorizados mediante solicitudes HTTP o HTTPS diseñadas.
Fortinet parchó el CVE-2025-25257 la semana pasada, y atribuyó el mérito al prolífico cazador de errores Kentaro Kawane de GMO Cybersecurity por informarlo.
Explotación de CVE-2025-25257 simplificada
El viernes, los investigadores de watchTowr publicaron su propio análisis profundo de FortiWeb en busca de la falla y lanzaron un script que intenta detectar si FortiWeb es vulnerable a CVE-2025-25257.
Un atacante no autenticado puede activar SQLi mediante una solicitud HTTP al endpoint /api/fabric/device/status (y posiblemente a varios otros endpoints, según el análisis de watchTowr). El encabezado de autorización contendrá un valor de portador que forma parte de una sentencia SQL no saneada, lo que genera el SQLi. Stephen Fewer, ingeniero de seguridad de Rapid7, explicó sucintamente el proceso de explotación descrito por los investigadores de watchTowr.
Un atacante puede aprovechar SQLi para lograr RCE creando varias sentencias SQL para escribir un archivo .pth de Python en un directorio común de paquetes del sitio de Python y, luego, activando indirectamente la ejecución de un script de Python conocido mediante una solicitud HTTP, que a su vez ejecutará el archivo pth malicioso del atacante con privilegios de root.
Otro investigador de seguridad afirmó haber descubierto CVE-2025-25257 en febrero de 2025, pero no lo reportó a Fortinet en ese momento. También publicaron un exploit funcional para CVE-2025-25257 el viernes.
Por el momento, no hay indicios de que los atacantes estén explotando activamente la vulnerabilidad, pero la situación podría cambiar rápidamente.
Los usuarios de FortiWeb harían bien en mitigar el riesgo lo antes posible, ya sea actualizando sus instalaciones de FortiWeb a la versión 7.6.4 o superior, 7.4.8 o superior, 7.2.11 o superior o 7.0.11 o superior; o deshabilitando la interfaz administrativa HTTP/HTTPS de la solución.
Fuente y redacción: helpnetsecurity.com
