Falha CVE-2025-64446 com pontuação 9.1 afeta múltiplas versões do firewall de aplicações web e já foi adicionada ao catálogo de vulnerabilidades exploradas da CISA
Pesquisadores de cibersegurança estão alertando sobre vulnerabilidade crítica de bypass de autenticação no Fortinet FortiWeb Web Application Firewall (WAF) que permite a atacantes assumir o controle de contas administrativas e comprometer completamente dispositivos. A falha, identificada como CVE-2025-64446 com pontuação CVSS de 9.1, está sendo ativamente explorada na natureza e já foi adicionada ao catálogo de vulnerabilidades conhecidas exploradas da agência americana CISA.
Benjamin Harris, CEO e fundador da watchTowr, empresa de cibersegurança que identificou a falha, declarou que sua equipe está observando exploração ativa e indiscriminada do que parece ser vulnerabilidade corrigida silenciosamente no produto FortiWeb da Fortinet. “Corrigida na versão 8.0.2, a vulnerabilidade permite que atacantes executem ações como usuário privilegiado, com a exploração na natureza focando na adição de nova conta de administrador como mecanismo básico de persistência para os atacantes”, explicou Harris.
A watchTowr conseguiu reproduzir com sucesso a vulnerabilidade e criar prova de conceito funcional. A empresa também disponibilizou publicamente ferramenta geradora de artefatos para o bypass de autenticação, ajudando organizações a identificar dispositivos suscetíveis em suas redes.
Segundo análise detalhada do pesquisador Sina Kheirkhah, da watchTowr Labs, a vulnerabilidade é, na verdade combinação de duas falhas distintas que, quando exploradas em conjunto, permitem bypass completo de autenticação.
A primeira falha é bug de path traversal (travessia de caminho) na requisição HTTP que permite alcançar o executável “fwbcgi” através do endpoint manipulado “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi”. A segunda falha é bypass de autenticação através do conteúdo do cabeçalho HTTP CGIINFO.
O binário “fwbcgi” inclui mecanismo para personificar qualquer usuário baseado em dados fornecidos pelo cliente. Esse processo se desdobra em quatro etapas: extração do cabeçalho CGIINFO da requisição HTTP, decodificação do valor codificado em Base64, análise do resultado como JSON e iteração sobre todas as chaves JSON para extrair quatro atributos específicos: username (nome de usuário), profname (nome do perfil), vdom (domínio virtual) e loginname (identificador de login).
Esses campos passados via requisição HTTP instruem o “fwbcgi” qual usuário o remetente da requisição deseja personificar. No caso da conta “admin” integrada ao sistema, esses valores são consistentes entre dispositivos e não podem ser alterados: username (“admin”), profname (“prof_admin”), vdom (“root”) e loginname (“admin”).
Como resultado, atacante pode explorar a vulnerabilidade de path traversal enviando requisição HTTP especificamente elaborada contendo cabeçalho CGIINFO que lhe permite personificar qualquer usuário, incluindo administrador, simplesmente fornecendo os valores mencionados e herdando seus privilégios.
“Isso significa que um atacante pode executar qualquer ação privilegiada simplesmente fornecendo a estrutura JSON apropriada”, explicou Kheirkhah, acrescentando que a vulnerabilidade pode ser armadilhada para criar novos usuários locais com privilégios elevados.
Contas Administrativas Criadas por Atacantes
Segundo detalhes compartilhados pela Defused e pelo pesquisador de segurança Daniel Card, da PwnDefend, o ator de ameaça por trás da exploração envia payload para o endpoint vulnerável através de requisição HTTP POST para criar conta administrativa.
Algumas das combinações de nome de usuário e senha detectadas na natureza incluem:
- Testpoint / AFodIUU3Sszp5
- trader1 / 3eMIXX43
- trader / 3eMIXX43
- test1234point / AFT3$tH4ck
- Testpoint / AFT3$tH4ck
- Testpoint / AFT3$tH4ckmet0d4yaga!n
A presença dessas contas em sistemas FortiWeb indica comprometimento através dessa vulnerabilidade específica.
Versões Afetadas
A Fortinet confirmou que a vulnerabilidade afeta múltiplas versões do FortiWeb:
- FortiWeb 8.0.0 até 8.0.1 (atualizar para 8.0.2 ou superior)
- FortiWeb 7.6.0 até 7.6.4 (atualizar para 7.6.5 ou superior)
- FortiWeb 7.4.0 até 7.4.9 (atualizar para 7.4.10 ou superior)
- FortiWeb 7.2.0 até 7.2.11 (atualizar para 7.2.12 ou superior)
- FortiWeb 7.0.0 até 7.0.11 (atualizar para 7.0.12 ou superior)
Resposta da Fortinet
A Fortinet reconheceu a vulnerabilidade, agora rastreada como CVE-2025-64446, descrevendo-a como vulnerabilidade de travessia de caminho relativo no FortiWeb que pode permitir a atacante não autenticado executar comandos administrativos no sistema através de requisições HTTP ou HTTPS manipuladas. A empresa também reconheceu publicamente que observou exploração ativa da falha na natureza.
“Estamos cientes desta vulnerabilidade e ativamos nossa resposta PSIRT e esforços de remediação assim que tomamos conhecimento desta questão, e esses esforços permanecem em andamento”, declarou porta-voz da empresa. “A Fortinet equilibra diligentemente nosso compromisso com a segurança de nossos clientes e nossa cultura de transparência responsável. Estamos nos comunicando diretamente com clientes afetados para aconselhar sobre quaisquer ações recomendadas necessárias.”
Como medidas de contorno até que patches possam ser aplicados, usuários são aconselhados a desabilitar HTTP ou HTTPS para interfaces voltadas para internet. Também é recomendado revisar configurações e logs em busca de modificações inesperadas ou adição de contas de administrador não autorizadas.
A Rapid7, que está instando organizações executando versões do Fortinet FortiWeb anteriores à 8.0.2 a corrigir a vulnerabilidade em base emergencial, observou que suposto exploit zero-day visando FortiWeb foi publicado para venda em fórum popular de black hat em 6 de novembro de 2025, embora não esteja claro se é o mesmo exploit.
A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), exigindo que agências do Poder Executivo Civil Federal (FCEB) apliquem as correções até 21 de novembro de 2025.
“Limitar o acesso a interfaces de gerenciamento HTTP/HTTPS a redes internas é prática recomendada que reduz, mas não elimina, o risco; atualizar os sistemas afetados permanece essencial e é a única maneira de remediar completamente esta vulnerabilidade”, afirmou a agência em aviso separado.
“Enquanto aguardamos comentário da Fortinet, usuários e empresas agora enfrentam processo familiar: procurar sinais triviais de comprometimento anterior, entrar em contato com a Fortinet para mais informações e aplicar patches se ainda não o fizeram”, disse Harris. “Dito isso, dada a exploração indiscriminada observada, appliances que permanecem sem patch provavelmente já estão comprometidos.”
As origens e identidade do ator de ameaça por trás dos ataques permanecem desconhecidas. A atividade de exploração foi detectada pela primeira vez no início do mês passado, indicando que a vulnerabilidade está sendo explorada há semanas antes do reconhecimento público e atribuição de CVE pela Fortinet.
Organizações utilizando Fortinet FortiWeb devem priorizar a aplicação imediata dos patches disponíveis e realizar auditoria completa de contas administrativas em busca de adições não autorizadas que possam indicar comprometimento prévio através desta vulnerabilidade crítica.
Fonte: The Hacker News
