Fortinet FortiWeb: Exploração Crítica da CVE-2025-64446

Alerta Urgente: Vulnerabilidade Crítica em Exploração Ativa

Uma falha de segurança crítica está sendo explorada ativamente desde outubro de 2025, comprometendo firewalls de aplicações web Fortinet FortiWeb em escala global. A vulnerabilidade CVE-2025-64446 alcançou pontuação CVSS de 9.8, classificada como crítica pela gravidade e facilidade de exploração. A CISA (Cybersecurity & Infrastructure Security Agency) adicionou esta falha ao seu catálogo KEV (Known Exploited Vulnerabilities) em 14 de novembro de 2025, estabelecendo prazo urgente de correção até 21 de novembro.

Nesse artigo do blog Dolutech, analisamos os detalhes técnicos desta ameaça, as evidências de exploração em massa e as medidas urgentes que profissionais de cibersegurança devem implementar imediatamente.

O Que é a CVE-2025-64446 e Como Funciona

A CVE-2025-64446 representa uma vulnerabilidade de path traversal (travessia de caminho relativo) que explora falhas no Common Gateway Interface (CGI) do FortiWeb. Esta falha permite que atacantes não autenticados executem comandos administrativos através de requisições HTTP ou HTTPS especialmente manipuladas, criando contas administrativas sem qualquer necessidade de credenciais prévias.

A Fortinet confirmou oficialmente ter observado exploração ativa desta vulnerabilidade, embora tenha permanecido silenciosa por semanas após o lançamento do patch na versão 8.0.2. Este silêncio gerou críticas da comunidade de segurança, que considera a prática de “silent patching” extremamente prejudicial para organizações que precisam priorizar remediações críticas.

Detalhes Técnicos da Exploração

A exploração ocorre através de um vetor de ataque relativamente simples, mas devastador. Atacantes enviam requisições POST especialmente formatadas para o endpoint vulnerável:

POST /api/v2.0/cmdb/system/admin?/../../../../../cgi-bin/fwbcgi HTTP/1.1
Host: [target]

Esta requisição explora uma falha de validação de caminho que permite aos atacantes contornar a autenticação da API e acessar diretamente o executável CGI subjacente. O payload inclui parâmetros que criam uma nova conta administrativa local, concedendo controle total sobre o dispositivo.

Pesquisadores da watchTowr Labs identificaram que a vulnerabilidade consiste em duas falhas distintas trabalhando em conjunto: uma travessia de caminho e um bypass de autenticação. Esta combinação permite que atacantes não só acessem funcionalidades administrativas, mas também persistam no sistema através da criação de backdoors administrativos.

Versões Afetadas e Patches Disponíveis

A vulnerabilidade impacta múltiplas versões do FortiWeb, afetando organizações que não mantiveram seus sistemas atualizados. As versões comprometidas incluem:

• FortiWeb 8.0.0 até 8.0.1 (corrigido na versão 8.0.2)
• FortiWeb 7.6.0 até 7.6.4 (corrigido na versão 7.6.5)
• FortiWeb 7.4.0 até 7.4.9 (corrigido na versão 7.4.10)
• FortiWeb 7.2.0 até 7.2.11 (corrigido na versão 7.2.12)
• FortiWeb 7.0.0 até 7.0.11 (corrigido na versão 7.0.12)

A Dolutech recomenda fortemente a atualização imediata para as versões corrigidas correspondentes ao seu branch de deployment. O patch na versão 8.0.2 foi verificado por múltiplos pesquisadores, incluindo watchTowr e Rapid7, confirmando que bloqueia tentativas de exploração com resposta HTTP 403 Forbidden.

Campanha de Ataques em Massa: Evidências e Indicadores

A primeira detecção documentada desta exploração ocorreu em 6 de outubro de 2025, quando a empresa de inteligência de ameaças Defused capturou tentativas de ataque em seus honeypots. Desde então, pesquisadores identificaram uma campanha global de ataques indiscriminados contra dispositivos FortiWeb expostos à internet.

Credenciais Utilizadas pelos Atacantes

A análise forense revelou padrões consistentes nas contas administrativas criadas pelos atacantes. As credenciais mais comumente observadas incluem:

• testpoint / AFodIUU3Sszp5
• trader1 / 3eMIXX43
• test1234point / AFT3$tH4ck

Estas credenciais servem como mecanismo de persistência básico, permitindo que os atacantes retornem aos sistemas comprometidos mesmo após reinicializações. Benjamin Harris, CEO da watchTowr, alertou que aproximadamente 80.000 appliances FortiWeb estão conectados à internet e potencialmente vulneráveis a esta exploração.

Impacto e Riscos para Organizações

O comprometimento de um firewall de aplicações web representa uma violação crítica do perímetro de segurança. FortiWeb atua como primeira linha de defesa para aplicações web corporativas, APIs e serviços backend. Quando comprometido, os atacantes obtêm:

Controle Administrativo Completo: Capacidade de modificar ou desabilitar regras do WAF, expondo aplicações protegidas a ataques diretos.

Exfiltração de Dados Sensíveis: Acesso a configurações, logs de tráfego e potencialmente credenciais armazenadas que podem facilitar movimentação lateral.

Pivoteamento para Redes Internas: Posição privilegiada para descobrir e comprometer ativos internos protegidos pelo WAF.

Persistência de Longo Prazo: Contas administrativas criadas permanecem ativas mesmo após correção, exceto se especificamente identificadas e removidas.

Nós da Dolutech enfatizamos que organizações com interfaces de gerenciamento FortiWeb expostas publicamente desde início de outubro devem presumir comprometimento potencial e conduzir investigações forenses completas.

Detecção e Indicadores de Comprometimento

Equipes de segurança devem implementar imediatamente detecções para identificar tentativas de exploração e sinais de comprometimento anterior:

Indicadores em Logs

Busque nos logs HTTP/HTTPS por requisições contendo:

• POST para /api/v2.0/cmdb/system/admin com parâmetros de path traversal
• Padrões de URL incluindo /../../../../../cgi-bin/fwbcgi
• Requisições de IPs não autorizados ou suspeitos para endpoints da API de administração

Verificação de Contas Administrativas

Conduza auditoria completa de todas as contas administrativas locais:

• Enumere todas as contas admin e compare com baseline autorizado
• Identifique contas criadas desde outubro de 2025 sem aprovação formal
• Verifique contas com perfil prof_admin e range de confiança configurado como 0.0.0.0/0 ou ::/0

Headers Suspeitos

Analise requisições contendo headers CGIINFO codificados em base64, indicador específico desta exploração.

Mitigação Urgente: Ações Imediatas Necessárias

A Fortinet e a CISA recomendam as seguintes ações de remediação com máxima urgência:

1. Atualização Imediata

Aplique os patches correspondentes à sua versão do FortiWeb. Esta é a única forma de remediar completamente a vulnerabilidade. Teste as atualizações em ambiente controlado antes de deployment em produção, seguindo suas diretrizes organizacionais de change management.

2. Mitigação Temporária

Para sistemas que não podem ser atualizados imediatamente, desabilite o acesso HTTP/HTTPS para interfaces voltadas à internet:

config system settings
    set http-port 0
    set https-port 0
end

Importante: Esta mitigação reduz significativamente o risco, mas não elimina completamente a vulnerabilidade. A atualização permanece essencial.

3. Restrição de Acesso ao Gerenciamento

Configure acesso à interface de gerenciamento exclusivamente através de redes internas ou VPN. Nunca exponha interfaces de administração diretamente à internet. Implemente listas de IPs permitidos com controle rigoroso.

4. Investigação Forense

Se interfaces de gerenciamento estavam publicamente acessíveis desde outubro:

• Revise completamente logs de autenticação e criação de usuários
• Verifique modificações não autorizadas em políticas e configurações
• Analise logs de auditoria para atividades administrativas anômalas
• Considere rotação de credenciais administrativas e chaves API

5. Monitoramento Contínuo

Implemente alertas para:

• Criação de novas contas administrativas
• Modificações em políticas de segurança
• Atividades administrativas fora de janelas de manutenção
• Tentativas de acesso aos endpoints vulneráveis

Ferramentas de Detecção Disponíveis

A watchTowr Labs disponibilizou publicamente um “Detection Artifact Generator” para ajudar defenders a identificar sistemas vulneráveis em suas redes. Esta ferramenta pode ser encontrada no repositório GitHub da watchTowr e auxilia equipes de segurança a escanear seus estates rapidamente.

Fornecedores de scanners de vulnerabilidade, incluindo Tenable, Qualys e Rapid7, já atualizaram suas plataformas com detecções específicas para CVE-2025-64446, permitindo identificação automatizada de sistemas expostos.

Contexto Histórico: Fortinet e Vulnerabilidades Exploradas

A CVE-2025-64446 marca a vigésima primeira vulnerabilidade da Fortinet adicionada ao catálogo KEV da CISA, destacando um padrão preocupante de vulnerabilidades críticas em produtos da empresa sendo ativamente exploradas. Dispositivos de segurança de perímetro, incluindo WAFs, firewalls e VPNs, tornaram-se alvos prioritários para atacantes devido à sua posição privilegiada na arquitetura de rede.

Em julho de 2025, outra vulnerabilidade FortiWeb (CVE-2025-25257) foi explorada logo após divulgação, demonstrando o interesse persistente de threat actors nesta linha de produtos. Esta tendência reforça a necessidade crítica de patching proativo e monitoramento contínuo de dispositivos de segurança perimetral.

Conclusão: Ação Imediata Requerida

A CVE-2025-64446 representa uma ameaça crítica e ativa a organizações que dependem do FortiWeb para proteção de suas aplicações web. Com exploração massiva confirmada, aproximadamente 80.000 dispositivos potencialmente expostos e proof-of-concept público disponível, o risco de comprometimento é extremamente elevado.

A Dolutech urge todas as organizações que utilizam FortiWeb a tratarem esta vulnerabilidade como emergência de segurança, implementando patches imediatamente ou aplicando mitigações temporárias até que atualização completa seja possível. Não aguarde por incidentes de segurança para agir – os atacantes já estão ativos e explorando sistemas vulneráveis globalmente.

Profissionais de cibersegurança devem priorizar verificação de indicadores de comprometimento em sistemas que estiveram expostos desde outubro, conduzindo investigações forenses completas caso encontrem evidências de exploração. A segurança do perímetro é tão forte quanto seu elo mais fraco, e um WAF comprometido representa violação fundamental de toda a postura de segurança organizacional.

Lucas Catão de Moraes

Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.