Ejecución remota de código en FortiOS por desbordamiento de buffer en daemon CAPWAP (CVE-2025-25249)

Descripcion de la vulnerabilidad

CVE-2025-25249 es una vulnerabilidad de desbordamiento de buffer basado en heap (heap-based buffer overflow) en el daemon cw_acd (CAPWAP Wireless Aggregate Controller Daemon) de FortiOS y FortiSwitchManager. Este daemon gestiona la comunicacion entre el controlador de access points FortiAP y el FortiGate.

Un atacante remoto sin autenticacion puede enviar solicitudes especialmente manipuladas al servicio CAPWAP para provocar el desbordamiento y lograr ejecutar codigo arbitrario en el dispositivo afectado. Esto convierte a esta vulnerabilidad en un vector de ataque de alto riesgo, especialmente en entornos donde los puertos CAPWAP estan accesibles desde segmentos de red no confiables.

Productos y versiones afectadas

• FortiOS 7.6: 7.6.0 a 7.6.3
• FortiOS 7.4: 7.4.0 a 7.4.8
• FortiOS 7.2: 7.2.0 a 7.2.11
• FortiOS 7.0: 7.0.0 a 7.0.17
• FortiOS 6.4: 6.4.0 a 6.4.16
• FortiSwitchManager 7.2: 7.2.0 a 7.2.6
• FortiSwitchManager 7.0: 7.0.0 a 7.0.5
• FortiSASE: version 25.2.b

Impacto

Un atacante que explote esta vulnerabilidad puede:

• Ejecutar codigo arbitrario en el sistema operativo del FortiGate
• Potencialmente obtener control completo del dispositivo
• Comprometer toda la infraestructura de red que el firewall protege

El riesgo se incrementa significativamente en organizaciones que utilizan FortiAP gestionados por FortiGate, ya que los puertos CAPWAP (UDP 5246-5249) deben estar accesibles para el funcionamiento normal de los access points. En entornos sin FortiAP, el riesgo es menor si estos puertos estan bloqueados.

Solucion recomendada

Actualizar a las siguientes versiones o superiores:

• FortiOS: 7.6.4, 7.4.9, 7.2.12, 7.0.18 o 6.4.17
• FortiSwitchManager: 7.2.7 o 7.0.6
• FortiSASE: 25.2.c

Mitigaciones temporales si no puede actualizar de inmediato:

• Opcion 1: Eliminar el acceso "fabric" de las interfaces de red. En la GUI: Network → Interfaces, editar cada interfaz y remover "FABRIC" del campo Administrative Access
• Opcion 2: Crear politicas de firewall local-in para bloquear el trafico CAPWAP-CONTROL en los puertos UDP 5246 a 5249: config firewall local-in-policy → crear regla que bloquee destino UDP 5246-5249 desde fuentes no confiables

Consideracion para entornos con FortiAP: Si bloquea los puertos CAPWAP, los access points FortiAP gestionados por el FortiGate perderan comunicacion con el controlador. En estos casos, la actualizacion del firmware es la unica solucion viable.

Referencias

• Fortinet PSIRT Advisory FG-IR-25-084
• Qualys ThreatPROTECT - CVE-2025-25249
• Arctic Wolf - CVE-2025-25249 Analysis