- Visitas: 90
Cybersecurity and Infrastructure Security Agency (CISA) añade una nueva vulnerabilidad crítica al catálogo de explotación
El pasado 14 de noviembre de 2025, CISA incorporó en su catálogo de vulnerabilidades explotadas (Known Exploited Vulnerabilities, KEV) una nueva falla severa que afecta a los dispositivos Fortinet FortiWeb, lo que eleva el nivel de alerta para organizaciones que utilizan esta solución. Este movimiento pone de manifiesto el elevado riesgo operativo que enfrentan aquellas empresas que no mitiguen con rapidez esta vulnerabilidad. A continuación, desglosamos los detalles, el impacto, las recomendaciones y lo que toda organización pública o privada debe saber para actuar.
¿Qué vulnerabilidad se añadió al catálogo de la CISA?
La vulnerabilidad en cuestión está identificada como CVE‑2025‑64446 y es una falla tipo path-traversal (recorrido de ruta) que afecta al producto FortiWeb en múltiples versiones: 7.0.0-11, 7.2.0-11, 7.4.0-9, 7.6.0-4 y 8.0.0-1.
Específicamente, un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP o HTTPS especialmente diseñadas para ejecutar comandos administrativos en el dispositivo sin necesidad de autenticación.
El puntaje de gravedad asignado es 9.1 según CVSS, lo que la califica como crítica
¿Por qué se considera un riesgo significativo?
Explotación real en el campo
La inclusión en el catálogo KEV solo ocurre tras confirmación de explotación activa o cuando existe evidencia sólida de que la falla está siendo utilizada en ataques. En este caso, se reportó que la vulnerabilidad estaba siendo explotada desde octubre de 2025.
Impacto en los controles de seguridad
Para las organizaciones que operan FortiWeb como parte de su perímetro, WAF (Web Application Firewall) o protección de aplicaciones web, esta vulnerabilidad puede comprometer la integridad, disponibilidad y confidencialidad de sistemas clave. Una ejecución de comandos administrativos implica un control prácticamente completo.
Plazo de mitigación breve
CISA fijó como “due date” (fecha límite) el 21 de noviembre de 2025, lo que da solo una semana a muchas entidades federales en EE.UU. para aplicar las acciones correspondientes. Aunque esta directiva aplica a agencias federales, constituye una clara señal para todas las organizaciones de que el riesgo es real.
Interacción con productos específicos
El hecho de que el producto afectado sea FortiWeb, ampliamente usado para asegurar aplicaciones web, implica que muchas organizaciones podrían estar en exposición sin saberlo. El riesgo de no actuar es alto, especialmente para entidades con infraestructura en línea o servicios críticos.
Contexto más amplio: ¿qué es el catálogo KEV de la CISA?
El catálogo denominado Known Exploited Vulnerabilities Catalog (KEV) es una herramienta de la CISA que enumera vulnerabilidades con evidencia de explotación en la naturaleza.
La directiva vinculada, la Binding Operational Directive 22‑01, obliga a las agencias federales de EE.UU. a remediar las vulnerabilidades listadas en un plazo determinado o cesar su uso.
Para las organizaciones en Colombia y América Latina que siguen estándares internacionales de ciberseguridad, esta advertencia se convierte en un indicador clave sobre las prioridades de gestión de vulnerabilidades.
Recomendaciones clave para mitigación
1. Inventario y detección
- Verifique si utiliza dispositivos FortiWeb en alguna versión afectada (7.0.0-11, 7.2.0-11, 7.4.0-9, 7.6.0-4, 8.0.0-1).
- Si el producto está expuesto a Internet o gestiona tráfico externo, priorice su evaluación.
2. Actualización o remediación
- Aplique de inmediato el parche oficial o la versión corregida publicada por Fortinet.
- Si no puede actualizar en forma inmediata, considere desactivar las interfaces HTTP/HTTPS expuestas o bloquear el acceso externo al dispositivo como medida temporal.
3. Monitoreo y respuesta
- Configure alertas de seguridad para tráfico inusual, intentos de acceso administrativo o solicitudes HTTP/HTTPS extrañas al WAF.
- Realice un escaneo de vulnerabilidades y asegure que la falla CVE-2025-64446 ya no está presente.
4. Integración al proceso de gestión de vulnerabilidades
- Incorpore esta falla en el registro de vulnerabilidades de su organización y documente las acciones emprendidas.
- Aproveche este incidente para revisar políticas de parcheo, segmentación de red y controles perimetrales de aplicación web.
¿Qué significa para entidades en Colombia y Latinoamérica?
Aunque la directiva de la CISA es para entidades estadounidenses, el riesgo es global: los atacantes actúan sin mirar fronteras. Las organizaciones en Colombia, especialmente las que dan servicios en línea o manejan datos sensibles, están igualmente expuestas.
Incorporar la falla en un proceso de priorización inteligente por ejemplo, bajo el esquema de gestión de vulnerabilidades, continuidad operacional o políticas de seguridad de la información es una práctica recomendada para elevar la ciberresiliencia institucional.
Conclusión: actúe ahora para prevenir incidentes mayores
La incorporación de la vulnerabilidad CVE-2025-64446 al catálogo KEV de la CISA es una llamada urgente para que todas las organizaciones revisen su estado de seguridad. Si utiliza o tiene expuestos dispositivos FortiWeb, el riesgo es inminente y la ventana de oportunidad para mitigarlo es estrecha.
Como llamada a la acción: obtenga inmediatamente un inventario actualizado de sus dispositivos Fortinet FortiWeb, verifique la versión, aplique parches y documente la remediación. Incluya esta falla en su próxima reunión de comité de seguridad o gobernanza de TI para asegurar que la mitigación reciba el nivel de prioridad que requiere este tipo de vulnerabilidades de explotación real.
Referente de Consulta
Cybersecurity and Infrastructure Security Agency. (2025, November 14). CISA adds one known exploited vulnerability to catalog. https://www.cisa.gov/news-events/alerts/2025/11/14/cisa-adds-one-known-exploited-vulnerability-catalog
