Falha crítica permite controlo total sem autenticação

Desde o início de outubro, atores maliciosos têm explorado uma vulnerabilidade crítica de path traversal no firewall de aplicações web Fortinet FortiWeb, que permite a criação não autenticada de contas de administrador e o controlo total dos dispositivos vulneráveis.

Investigadores da watchTowr Labs revelaram a falha a 13 de novembro, detalhando uma cadeia de bypass de autenticação e path traversal que contorna as proteções e acede a scripts CGI sensíveis do sistema. A Fortinet confirmou a exploração através do seu boletim de segurança PSIRT FG-IR-25-910, atribuindo a vulnerabilidade ao CVE-2025-64446 e reportando varreduras indiscriminadas globais a dispositivos expostos na internet.

A falha permite contornar os mecanismos de autenticação do FortiWeb através de pedidos especialmente manipulados à interface de gestão, dando acesso direto a componentes internos do sistema que deveriam estar protegidos. Na prática, um atacante externo consegue comunicar com a firewall como se fosse um administrador legítimo, sem fornecer qualquer credencial válida.

A partir daí, é possível criar contas administrativas ocultas, com permissões totais e acesso irrestrito ao sistema, garantindo persistência mesmo após reinícios ou alterações de configuração. Nos dispositivos vulneráveis, este acesso responde normalmente aos pedidos maliciosos, enquanto sistemas já corrigidos bloqueiam a tentativa.

Com uma pontuação CVSS v3.1 base de 9.1, a vulnerabilidade destaca-se pela baixa complexidade de exploração, ausência de privilégios necessários e impacto severo na confidencialidade, integridade e disponibilidade dos sistemas.

Os indicadores de compromisso incluem pedidos POST suspeitos com User-Agent python-urllib3, cabeçalhos CGIINFO contendo dados administrativos e cargas que representam a criação de utilizadores. A exploração aumentou após divulgações em outubro pela Defused Cyber, com varreduras a alvos vulneráveis utilizando consultas tipo Shodan.

A CISA incluiu o CVE-2025-64446 no seu catálogo de Vulnerabilidades Exploradas Conhecidas, impondo a correção obrigatória em ambientes federais até 21 de novembro.

A Fortinet lançou patches silenciosos, como o da versão 8.0.2, antes da divulgação pública, sem detalhar a falha inicialmente. A recomendação inclui desativar os protocolos HTTP/HTTPS nas interfaces expostas, rever logs após atualização para detetar administradores não autorizados e reforçar segmentação de rede e políticas zero-trust em interfaces de gestão.

Não está confirmada exploração remota de código além do controlo administrativo, mas o comprometimento dos firewalls pode facilitar movimentos laterais dentro dos ecossistemas Fortinet.