Uma Correção Silenciosa e um Mês de Vantagem para os Invasores

A história desta vulnerabilidade não começou com um comunicado de imprensa barulhento, mas com o sussurro de um ataque capturado em uma armadilha digital. De acordo com a empresa de inteligência de ameaças Defused, os primeiros sinais de exploração surgiram em 6 de outubro, quando seus honeypots (sistemas projetados para atrair e registrar ataques) detectaram um payload suspeito sendo disparado contra dispositivos Fortinet. Era o início de uma exploração em massa de uma falha ainda desconhecida pelo público.

Enquanto os invasores agiam nas sombras, a Fortinet lançou uma correção em 28 de outubro com a versão 8.0.2 do FortiWeb, mas o fez de forma silenciosa, sem um alerta de segurança ou a atribuição de um CVE. Somente na última sexta-feira, 14 de novembro, a empresa finalmente publicou um comunicado oficial, admitindo que a vulnerabilidade, agora rastreada como CVE-2025-64446, estava sendo ativamente explorada. Esse hiato de mais de um mês deu aos atacantes uma janela de oportunidade considerável.

Segundo a watchTowr Labs, que também demonstrou o exploit e liberou uma ferramenta para identificação de dispositivos vulneráveis, a exploração tem sido “indiscriminada e ativa”. A empresa estima que existam pelo menos 80.000 firewalls FortiWeb conectados à internet, um campo vasto para os atacantes. Benjamin Harris, CEO da watchTowr, foi direto ao ponto: “dada a exploração indiscriminada observada [...], os aparelhos que permanecem sem patch provavelmente já estão comprometidos”.

Como a Invasão Acontece: Um Truque Antigo em uma Porta Moderna

A vulnerabilidade é classificada como uma falha de 'confusão de caminho' (path traversal). Em termos simples, é como se um entregador conseguisse enganar o porteiro para acessar o apartamento do síndico usando um endereço criativamente fraudado. Os atacantes enviam uma requisição HTTP POST para um endpoint específico da API do FortiWeb: /api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi.

Essa sequência de caracteres permite que eles 'subam' na estrutura de diretórios do sistema e executem comandos administrativos sem qualquer tipo de autenticação. Segundo os pesquisadores da Rapid7 e da Defused, o principal objetivo dos ataques observados é a criação de novas contas de administrador no dispositivo, garantindo uma porta de entrada persistente e controle total sobre o firewall. É um método clássico e eficaz, provando que, mesmo em sistemas de segurança avançados, os fundamentos ainda importam.

O Tio Sam Bateu na Mesa: CISA Exige Ação Imediata

A gravidade da situação foi sublinhada pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Na mesma sexta-feira do anúncio da Fortinet, a agência adicionou a CVE-2025-64446 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A inclusão no catálogo funciona como uma ordem direta para todas as agências federais dos EUA, que agora têm até 21 de novembro para aplicar a correção em seus sistemas.

A CISA alertou que “esse tipo de vulnerabilidade é um vetor de ataque frequente para atores maliciosos e representa riscos significativos”. A medida não apenas força a mão do governo, mas serve como um alarme sonoro para o setor privado, indicando a urgência na aplicação dos patches.

O Que Fazer Agora? (Além de Revisar os Logs com um Café Forte)

Para os administradores de sistemas que operam o FortiWeb, a recomendação é clara: atualizem imediatamente. A Fortinet já disponibilizou as versões que corrigem a falha. Se por algum motivo a atualização imediata não for viável, a empresa recomenda desabilitar as interfaces de gerenciamento HTTP/HTTPS voltadas para a internet e restringir o acesso apenas a redes confiáveis. Além disso, é fundamental revisar os logs do sistema em busca de atividades suspeitas, especialmente a criação de contas de administrador não autorizadas.

As versões afetadas e as respectivas soluções são:

  • FortiWeb 8.0: Afetadas versões 8.0.0 a 8.0.1. Corrigido na 8.0.2 ou superior.
  • FortiWeb 7.6: Afetadas versões 7.6.0 a 7.6.4. Corrigido na 7.6.5 ou superior.
  • FortiWeb 7.4: Afetadas versões 7.4.0 a 7.4.9. Corrigido na 7.4.10 ou superior.
  • FortiWeb 7.2: Afetadas versões 7.2.0 a 7.2.11. Corrigido na 7.2.12 ou superior.
  • FortiWeb 7.0: Afetadas versões 7.0.0 a 7.0.11. Corrigido na 7.0.12 ou superior.

Este episódio serve como um lembrete arqueológico digital: mesmo as muralhas mais robustas podem ter falhas em seus alicerces. O caso do FortiWeb destaca a complexa dança entre a descoberta de falhas, a responsabilidade do fornecedor em comunicá-las e a velocidade com que os adversários as transformam em armas. Para os guardiões da rede, a lição é atemporal: a vigilância deve ser constante, pois o silêncio, muitas vezes, é o som de uma porta sendo arrombada.