Un investigador de seguridad ha publicado una prueba de concepto parcial para explotar una vulnerabilidad en el firewall de aplicaciones web FortiWeb que permite a un atacante remoto eludir la autenticación.
El investigador de seguridad Aviv Y denominó la vulnerabilidad FortMajeure y la describe como un "fallo silencioso inesperado". Técnicamente, se trata de una lectura fuera de los límites en el análisis de cookies de FortiWeb que permite a un atacante establecer el parámetro "Era" con un valor inesperado. Esto hace que el servidor utilice una clave secreta de ceros para el cifrado de sesión y la firma HMAC, lo que facilita la creación de cookies de autenticación falsificadas.
La falla se reportó responsablemente a Fortinet y ahora se conoce como CVE-2025-52970. Fortinet publicó una corrección el 12 de agosto.
La explotación elude completamente la autenticación, lo que permite al atacante suplantar la identidad de cualquier usuario activo, incluido un administrador.
Para explotar CVE-2025-52970 con éxito, el usuario objetivo debe tener una sesión activa durante el ataque y el atacante debe forzar un pequeño campo numérico en la cookie. El requisito de la fuerza bruta proviene de un campo en la cookie firmada que se valida mediante la función refresh_total_logins() (en libncfg.so).
Este campo es un número desconocido que el atacante debe adivinar, pero el investigador observa que el rango no suele ser superior a 30, lo que lo convierte en un espacio de búsqueda pequeño de aproximadamente 30 solicitudes.
Dado que el exploit utiliza la clave de ceros (debido al error de "Era"), cada intento se puede probar instantáneamente comprobando si se acepta la cookie falsificada.
El problema afecta a FortiWeb 7.0 a 7.6 y se solucionó en las siguientes versiones:
- FortiWeb 7.6.4+
- FortiWeb 7.4.8+
- FortiWeb 7.2.11+
- FortiWeb 7.0.11+
Fortinet afirma en el boletín que las versiones de FortiWeb 8.0 no se ven afectadas por este problema, por lo que no es necesario tomar ninguna medida.
La puntuación de severidad de 7.7 en el CVSS de Fortinet puede ser engañosa, ya que se deriva de la "alta complejidad del ataque" debido al requisito de fuerza bruta. Sin embargo, en la práctica, la parte de fuerza bruta es simple y rápida de ejecutar.
El investigador compartió el resultado de una prueba de concepto (PoC) que muestra la suplantación de administrador en un endpoint REST. Sin embargo, ocultó el exploit completo, que también cubre la conexión a la CLI de FortiWeb a través de /ws/cli/open.
Sin embargo, Aviv Y prometió publicar los detalles completos del exploit más adelante, ya que el aviso del proveedor se publicó recientemente. El investigador tomó esta decisión para que los administradores de sistemas tuvieran más tiempo para aplicar la solución.
Los detalles publicados demuestran la raíz del problema, pero no son suficientes ni siquiera para que atacantes expertos infieran el resto y desarrollen una cadena de vulnerabilidades completa, según declaró el investigador. Explicó que los atacantes tendrían que aplicar ingeniería inversa al formato de los campos de la sesión, lo cual resulta poco práctico dado que Fortinet tiene sus propias estructuras de datos.
A pesar de ello, se deben tomar medidas inmediatas para mitigar el problema, ya que los atacantes siguen de cerca estos anuncios y se preparan para actuar cuando se publiquen las PoC completas.
El boletín de seguridad no incluye soluciones alternativas ni consejos de mitigación, por lo que actualizar a una versión segura es la única medida eficaz recomendada.
Fuente: BC