A CISA emitiu um alerta urgente sobre uma vulnerabilidade crítica no FortiWeb Web Application Firewall (WAF) da Fortinet, explorada ativamente por agentes de ameaças para assumir o controle administrativo dos sistemas afetados.
Rastreada como CVE-2025-64446, a falha decorre de um problema de passagem de caminho relativo (CWE-23) que permite que invasores não autenticados executem comandos administrativos arbitrários por meio de solicitações HTTP ou HTTPS especialmente criadas.
Adicionada ao catálogo de vulnerabilidades exploradas conhecidas (KEV) da CISA em 14 de novembro de 2025, a vulnerabilidade tem data de vencimento até 21 de novembro para que as agências federais apliquem mitigações ou descontinuem o uso.
O comunicado da Fortinet (FG-IR-25-910) confirma que o problema afeta várias versões do FortiWeb, incluindo aquelas que executam firmware até 7.4.7 e 7.6.5. Os invasores podem explorá-lo sem autenticação, levando potencialmente ao comprometimento total do sistema, à exfiltração de dados ou à implantação de malware.
Embora não se saiba se a vulnerabilidade está ligada a campanhas de ransomware, pesquisadores de segurança relataram exploração no mundo real, visando organizações em setores como finanças e saúde.
Vulnerabilidade FortiWeb WAF explorada em estado selvagem
“Esse bug de passagem de caminho é um descuido clássico, mas perigoso, no tratamento de arquivos”, disse a especialista em segurança cibernética Maria Chen, pesquisadora de vulnerabilidades em uma empresa líder em inteligência de ameaças. “O acesso não autenticado às funções administrativas transforma um WAF destinado a proteger aplicativos da web em um backdoor para invasores.”
A Fortinet recomenda correção imediata para as versões mais recentes, como 7.4.8 ou 7.6.6, e recomenda restringir o acesso administrativo por meio de segmentação de rede.
Para instâncias implantadas em nuvem, a CISA recomenda a adesão à Diretiva Operacional Vinculante (BOD) 22-01, que exige a correção oportuna de vulnerabilidades em sistemas federais.
As organizações que não conseguem corrigir devem isolar os dispositivos afetados e monitorar indicadores de comprometimento, como padrões incomuns de tráfego HTTP ou execução não autorizada de comandos.
A falha destaca riscos contínuos em dispositivos de segurança de rede, que são os principais alvos de ameaças persistentes avançadas (APTs). À medida que a exploração aumenta, os especialistas alertam que as implementações não corrigidas do FortiWeb podem amplificar cadeias de ataque mais amplas, como o movimento lateral em redes empresariais. A Fortinet não divulgou o método de descoberta inicial, mas enfatiza que nenhum dado do cliente foi violado durante a investigação.
Com o prazo do patch se aproximando, os usuários afetados estão correndo para atualizar. Os atrasos podem expor infraestruturas sensíveis a ameaças persistentes, sublinhando a necessidade de uma gestão proativa de vulnerabilidades numa era de explorações de dia zero.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
