A vulnerabilidade CVE-2025-64446 combina travessia de caminho e bypass de autenticação no FortiWeb, permitindo requisições HTTP ou HTTPS criadas para executar ações administrativas sem autenticação.
| Componente | Fortinet FortiWeb Web Application Firewall, com correção indicada na versão 8.0.2. |
| Vetor | Requisições HTTP ou HTTPS especialmente criadas atingem o executável fwbcgi por travessia de caminho e usam o cabeçalho CGIINFO para impersonar usuário privilegiado. |
| Impacto | Um atacante não autenticado pode executar comandos administrativos no sistema, com exploração observada para criar novas contas de administrador. |
| Prioridade | Atualizar FortiWeb para a versão corrigida, retirar interfaces HTTP/HTTPS expostas da internet até a correção e revisar logs e configuração em busca de administradores não autorizados. |
| CVE | CVE-2025-64446, classificada com CVSS 9.1 e incluída no catálogo KEV da CISA. |
| Prazo regulatório | Órgãos federais civis dos Estados Unidos foram orientados a aplicar correções até 21 de novembro de 2025. |
A vulnerabilidade CVE-2025-64446 afeta o Fortinet FortiWeb, produto usado como Web Application Firewall, e já teve exploração em ambiente real. O problema foi descrito como uma travessia de caminho relativa capaz de permitir que um atacante não autenticado execute comandos administrativos por meio de requisições HTTP ou HTTPS criadas para alcançar componentes internos do appliance. A correção aparece associada à versão 8.0.2, e ambientes que executam versões anteriores foram tratados como prioridade emergencial por causa da exploração indiscriminada observada.
A atividade vista em campo se concentrou na criação de contas administrativas, uma forma simples de persistência em appliances expostos. O fluxo técnico indicado combina dois elementos: o acesso ao binário fwbcgi por um caminho manipulado e o uso de dados fornecidos pelo cliente no cabeçalho CGIINFO para simular a identidade de um usuário privilegiado. Como o usuário administrativo embutido possui valores previsíveis para atributos como username, profname, vdom e loginname, uma requisição construída com esses campos pode herdar privilégios administrativos quando o dispositivo está vulnerável.
O vetor observado usa uma requisição HTTP POST contra uma rota da API do FortiWeb que é manipulada para alcançar o executável fwbcgi. O detalhe relevante para defesa não é reproduzir o payload, mas entender que a cadeia depende de uma travessia de caminho no processamento da requisição e de uma etapa posterior de autenticação baseada em metadados controlados pelo cliente. Esse encadeamento permite que o atacante ultrapasse a camada esperada de autenticação e acione ações administrativas como se estivesse operando com um perfil privilegiado.
A análise técnica indica que o binário fwbcgi valida se o corpo da requisição contém JSON válido e aciona uma função chamada cgi_auth(). Essa função aceita informações que definem qual usuário deve ser impersonado. Para a conta administrativa padrão, os valores citados são consistentes entre dispositivos: admin como nome de usuário, prof_admin como perfil, root como domínio virtual e admin como identificador de login. Em um dispositivo vulnerável, esses dados podem permitir que uma requisição externa execute operações administrativas, incluindo a criação de novos usuários locais com permissões elevadas.
A exploração foi detectada no início do mês anterior à publicação original, e a identidade do operador não foi confirmada. Também houve relato de um exploit anunciado como zero-day em fórum clandestino em 6 de novembro de 2025, mas o material analisado não confirma que esse material corresponda exatamente à mesma cadeia explorada em campo. O dado operacional confirmado é a exploração em ambiente real da falha agora rastreada como CVE-2025-64446, com foco em adição de contas administrativas.
A superfície mais sensível é formada por appliances FortiWeb com versões anteriores à 8.0.2 e interfaces HTTP ou HTTPS acessíveis por redes não confiáveis, especialmente internet. A exposição da interface de gerenciamento ou de rotas administrativas aumenta o risco porque o vetor depende de requisições remotas criadas para alcançar componentes internos. Restringir a administração a redes internas reduz a chance de tentativa direta, mas não substitui a atualização, já que a correção do software é o controle necessário para remover a falha.
O impacto não deve ser descrito genericamente como vazamento ou exfiltração de dados sem evidência adicional. O que o contexto sustenta é execução de ações administrativas no FortiWeb por atacante não autenticado e criação de contas com privilégios elevados. A partir desse controle administrativo, o risco defensivo inclui alteração de configuração, permanência local no appliance e possível manipulação de políticas de segurança, mas cada consequência precisa ser confirmada por logs e estado real do dispositivo afetado.
- FortiWeb em versão anterior à 8.0.2.
- Interfaces HTTP ou HTTPS administrativas expostas a redes não confiáveis.
- Configurações com novas contas de administrador não reconhecidas.
- Dispositivos com alterações recentes de configuração sem vínculo com janela de manutenção.
A investigação deve começar pela comparação entre contas administrativas esperadas e o estado atual do FortiWeb. Contas criadas fora de processos formais de mudança, perfis com privilégios elevados sem justificativa e alterações próximas ao período de exploração devem ser tratadas como evidência de possível comprometimento. Como a exploração observada buscava persistência por criação de administrador, a ausência de alertas tradicionais de malware não elimina o risco no appliance.
Nos logs HTTP e administrativos, a equipe deve procurar requisições POST anômalas contra rotas de API do FortiWeb, principalmente quando houver sinais de travessia de caminho, sequência de acesso ao fwbcgi ou presença incomum de CGIINFO. Em paralelo, a telemetria de rede deve ser correlacionada com origens externas desconhecidas que tenham interagido com interfaces de gerenciamento. O objetivo é estabelecer se houve tentativa, execução bem-sucedida, criação de conta, mudança de perfil ou modificação de configuração após a tentativa.
A inclusão no catálogo KEV da CISA reforça que o caso não deve ser tratado como risco teórico. Para organizações com FortiWeb exposto, a hipótese inicial prudente é que tentativas podem ter ocorrido antes da aplicação de correção. O hunting deve preservar evidências, exportar configurações para comparação e registrar horários de criação de contas e mudanças administrativas antes de qualquer limpeza que possa remover contexto forense.
- Requisições HTTP
POSTcom padrões de travessia de caminho em rotas administrativas. - Uso incomum do cabeçalho
CGIINFOem tráfego direcionado ao appliance. - Criação de administradores locais não autorizados ou fora de janela de mudança.
- Alterações de configuração, perfil, domínio virtual ou políticas sem responsável identificado.
- Acessos externos a interfaces HTTP ou HTTPS de gerenciamento antes da atualização.
A resposta deve priorizar atualização para a versão corrigida do FortiWeb, com validação posterior de que o appliance realmente executa o ramo corrigido. Quando a correção imediata não for possível, a orientação defensiva indicada é desabilitar HTTP ou HTTPS em interfaces expostas à internet até que a atualização seja aplicada. Limitar o acesso de gerenciamento a redes internas é uma medida de redução de superfície, mas não elimina a vulnerabilidade no código e, portanto, não deve ser tratado como remediação completa.
Após corrigir, a equipe deve revisar a configuração em busca de modificações inesperadas e remover contas administrativas não reconhecidas somente depois de registrar evidências suficientes para investigação. Também é necessário revisar logs históricos no período anterior à correção, porque a exploração foi observada antes da divulgação ampliada e pode ter precedido a resposta formal em muitos ambientes. Em appliances com sinais de comprometimento, a rotação de credenciais administrativas, revisão de integrações e validação das políticas do WAF são passos necessários para reduzir persistência e efeitos secundários.
Ambientes regulados ou com exposição crítica devem tratar a atualização como mudança emergencial. A presença de exploit em ambiente real, a severidade CVSS 9.1 e a capacidade de criar contas administrativas indicam que atrasos aumentam a probabilidade de persistência silenciosa. O encerramento do caso deve incluir evidência de versão corrigida, inventário de interfaces expostas, lista de administradores validada, logs preservados e conclusão documentada sobre tentativa ou comprometimento confirmado.
- Aplicar a correção associada ao FortiWeb 8.0.2 ou versão recomendada pelo fornecedor para o ambiente afetado.
- Desabilitar HTTP/HTTPS em interfaces expostas à internet até a atualização quando a correção imediata não for possível.
- Restringir gerenciamento a redes internas e origens administrativas conhecidas.
- Auditar contas administrativas, perfis, domínios virtuais e mudanças de configuração.
- Preservar logs e evidências antes de remover contas suspeitas ou restaurar configuração.
0 Comentários