Alerta Vermelho para Administradores de Rede

No universo da cibersegurança, a lógica booleana é implacável: ou um sistema está seguro, ou não está. Não existe meio-termo. E, para os administradores que utilizam o FortiWeb da Fortinet, a variável atual parece pender perigosamente para o lado "falso". Uma nova vulnerabilidade do tipo zero-day, ou seja, sem uma correção oficial disponível, está sendo explorada ativamente na internet. A falha permite que invasores criem, do nada, contas de usuário com privilégios de administrador nos dispositivos afetados. A notícia, detalhada em uma análise do portal de segurança PwnDefend, é um chamado urgente para ação, especialmente para aqueles cuja interface de gerenciamento está perigosamente exposta ao público.

O Diagnóstico: Anatomia de uma Invasão Lógica

A vulnerabilidade em questão é um clássico caso de path traversal, uma técnica que soa complexa, mas cuja lógica é assustadoramente simples. Se um sistema não valida corretamente os caminhos de arquivos e diretórios, então um atacante pode enganá-lo para acessar locais restritos. Neste caso, o ataque se materializa através de uma requisição HTTP POST, enviada para um endpoint específico da API do FortiWeb:

/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi

De acordo com a investigação divulgada pelo PwnDefend, que contou com a colaboração de pesquisadores como Simo, da DefusedCyber, o trecho /../../.. na URL é o que permite ao invasor "subir" na árvore de diretórios do sistema até alcançar um ponto onde pode executar comandos. Dentro dessa requisição maliciosa, o atacante anexa um payload projetado para criar uma nova conta de usuário. E não uma conta qualquer, mas uma com plenos poderes de administrador. O resultado é direto: o invasor ganha as chaves do castelo sem precisar arrombar o portão principal.

Evidência do Crime: Os Rastros Digitais

Uma alegação de exploração zero-day exige provas concretas, e elas não demoraram a aparecer. A empresa de segurança WatchTowr publicou um vídeo que serve como prova de conceito irrefutável. Na demonstração, vemos uma tentativa de login com credenciais falsas falhar. Em seguida, o payload é enviado ao dispositivo. Logo depois, a mesma credencial que antes era inválida passa a funcionar, concedendo acesso total. É um xeque-mate em poucos segundos.

Além disso, a análise do PwnDefend compilou uma lista de Indicadores de Compromisso (IOCs) que estão sendo "pulverizados" pela internet. Estes são os cartões de visita deixados pelos atacantes. Se você gerencia um FortiWeb, verificar seus logs em busca destes sinais é uma medida de primeira necessidade. Os IOCs conhecidos até agora incluem:

• Endereços IP de origem: 107.152.41.19, 144.31.1.63, 89.169.55.168, e uma série de IPs no bloco 185.192.70.x, entre outros.
• Nomes de usuário e senhas criados:
• Username: Testpoint, Password: AFodIUU3Sszp5
• Username: trader1, Password: 3eMIXX43
• Username: trader, Password: 3eMIXX43
• Username: test1234point, Password: AFT3$tH4ck

A presença de qualquer um desses artefatos em seus registros é um forte indício de que seu sistema foi, no mínimo, alvo de uma tentativa de ataque.

Quem Está na Mira? Verificando a Exposição

A falha, segundo os testes realizados pela WatchTowr, afeta as versões do FortiWeb abaixo da 8.0.2. A distinção de endpoints de API parece confirmar que o alvo é o FortiWeb, e não o FortiGate, já que a versão da API /v2.0/ é específica do primeiro, enquanto o segundo utiliza /v2/.

Uma busca na plataforma Shodan, que cataloga dispositivos conectados à internet, revela um número de aparelhos FortiWeb expostos que o PwnDefend descreve como "relativamente baixo". No entanto, "relativamente baixo" é um eufemismo para "ainda existem alvos fáceis por aí". A verdadeira questão que um administrador deve se fazer não é sobre a quantidade de alvos, mas se o seu próprio dispositivo faz parte desse grupo. A principal premissa para o sucesso do ataque é a interface de gerenciamento estar acessível publicamente – uma prática de segurança, por si só, altamente questionável.

Manual de Sobrevivência: Feche a Porta Agora

Diante de uma vulnerabilidade zero-day, a ausência de um patch do fabricante não pode ser sinônimo de inércia. A recomendação é clara e urgente: investigue seus sistemas imediatamente. A primeira e mais importante ação é remover a interface de gerenciamento do FortiWeb da exposição pública. Se o acesso remoto for indispensável, ele deve ser feito estritamente através de uma VPN segura.

A lógica aqui é simples: se não há porta exposta para a internet, o ataque não tem como ser iniciado. Enquanto a Fortinet não libera uma correção oficial, esta é a única contramedida eficaz para mitigar o risco. Analise os logs em busca dos IOCs listados e procure por qualquer conta de usuário desconhecida, especialmente aquelas com privilégios elevados. Em cibersegurança, o que não é explicitamente permitido deve ser considerado proibido. Contas que não deveriam existir são a definição de um problema grave. A conclusão é direta: a exploração é real, o impacto é severo e a janela de oportunidade para os invasores está aberta. Cabe aos administradores fechá-la o mais rápido possível.