Categoria: Fortinet

Alerta Técnico – Vulnerabilidade CVE-2025-64446

Data: 14/11/2025
Severidade: Crítica – CVSS 9.8
Status: Explorada ativamente desde outubro/2025
Produtos afetados: FortiWeb 7.0 a 8.0 (múltiplas versões)

Resumo Executivo

Em 14 de novembro de 2025, a Fortinet e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgaram um alerta sobre uma vulnerabilidade crítica de Path Traversal (CWE-23) que afeta os produtos FortiWeb, o Web Application Firewall (WAF) da Fortinet. A falha, identificada como CVE-2025-64446, possui uma pontuação CVSSv3 de 9.8 (Crítica) e está sendo ativamente explorada por atacantes desde o início de outubro de 2025 1.

A vulnerabilidade permite que um atacante não autenticado execute comandos administrativos remotos em sistemas vulneráveis, levando a um comprometimento total do dispositivo. A CISA já adicionou esta falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com um prazo de remediação obrigatório até 21 de novembro de 2025

---

1. Visão Geral da Vulnerabilidade

A CVE-2025-64446 é uma vulnerabilidade crítica de Path Traversal (CWE-23) combinada com bypass de autenticação, permitindo que um atacante não autenticado execute operações administrativas via CGI (fwbcgi).

Esta é a terceira vulnerabilidade crítica da linha FortiWeb nos últimos 18 meses, reforçando o padrão preocupante de falhas severas na superfície de ataque de dispositivos de borda da Fortinet.

A falha ocorre em dois estágios principais:

1. Path Traversal no endpoint /api/v2.0/…
2. Impersonação via header CGIINFO (base64) aceito pela função cgi_auth() sem validação real

O resultado é o comprometimento total do dispositivo FortiWeb, com capacidade de persistência, desvio de políticas de segurança e movimentação lateral na rede.

A falha foi adicionada em 14/11/2025 ao catálogo CISA KEV (Known Exploited Vulnerabilities Catalog) com prazo de mitigação obrigatório até 21/11/2025.

---

2. Detalhes de Exploração

2.1 Estágio 1 – Path Traversal

No primeiro estágio, o atacante utiliza um endpoint de API válido para escapar do diretório esperado e alcançar o executável administrativo fwbcgi:

POST /api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi HTTP/1.1

O Path Traversal permite que requisições atinjam o binário fwbcgi, responsável por operações administrativas no dispositivo.

2.2 Estágio 2 – Impersonação via CGIINFO

O binário fwbcgi utiliza a função cgi_auth(), que:

• não valida corretamente credenciais de autenticação;
• aceita um header HTTP chamado CGIINFO;
• confia em informações de identidade fornecidas em JSON, codificadas em Base64.

Exemplo de payload JSON, antes de ser codificado em Base64:

{
  "username": "admin",
  "profname": "super_admin",
  "vdom": "root",
  "loginname": "admin"
}

Quando esse payload é aceito, o sistema concede privilégios administrativos completos, permitindo ao atacante criar novas contas, alterar configurações e manter persistência no dispositivo.

---

3. Impacto Operacional

Um atacante que explore com sucesso a CVE-2025-64446 pode:

• Criar usuários administradores persistentes e ocultos;
• Modificar políticas, regras e perfis de proteção do WAF;
• Desabilitar ou contornar mecanismos de segurança;
• Exfiltrar dados inspecionados e registrados pelo WAF;
• Realizar movimentação lateral a partir do dispositivo comprometido.

Por se tratar de um WAF de borda, a vulnerabilidade abre um vetor crítico para ataques internos a partir de um equipamento que, normalmente, é considerado parte da camada de proteção.

---

4. Versões Afetadas (Confirmadas)

Produto	Versões Vulneráveis
FortiWeb 8.0	8.0.0 – 8.0.1
FortiWeb 7.6	7.6.0 – 7.6.4
FortiWeb 7.4	7.4.0 – 7.4.9
FortiWeb 7.2	7.2.0 – 7.2.11
FortiWeb 7.0	7.0.0 – 7.0.11

---

5. Ação Recomendada (Imediata)

5.1 Atualizar Firmware – Única Remediação Definitiva

A Fortinet disponibilizou versões corrigidas. (Fortinet PSIRT FG-IR-25-910). A atualização é a única forma de remediação completa:

Versão Atual	Atualizar para
8.0.x	8.0.2
7.6.x	7.6.5
7.4.x	7.4.10
7.2.x	7.2.12
7.0.x	7.0.12

5.2 Mitigação Temporária (Workaround)

Se a atualização não puder ser aplicada imediatamente, recomenda-se:

• Bloquear o acesso HTTP/HTTPS externo às interfaces administrativas do FortiWeb;
• Permitir acesso de administração apenas por redes internas ou via VPN segura;
• Monitorar tráfego para /cgi-bin/fwbcgi e padrões anômalos envolvendo /api/v2.0/... com Path Traversal.

Atenção: a mitigação reduz a superfície de ataque, mas não elimina a vulnerabilidade. A atualização de firmware continua obrigatória.

---

6. Indicadores de Comprometimento (IoCs)

6.1 Rede / Proxy / WAF Logs

Procurar por requisições com padrão de Path Traversal direcionadas ao binário CGI:

/api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi

Além disso, monitorar requisições contendo o header CGIINFO com conteúdo Base64, principalmente oriundas de IPs externos ou não autorizados.

CGIINFO: <string_base64_suspeita>

IPs com múltiplas tentativas de POST para esses caminhos devem ser tratados como suspeitos, com correlação adicional em outros logs.

6.2 Sistema / Configurações

Nos próprios dispositivos FortiWeb, verificar:

• Criação de novas contas de administrador, principalmente a partir de outubro de 2025;
• Contas com perfil de acesso prof_admin ou super_admin não reconhecidas pela equipe de segurança;
• Configurações de trust host definidas como 0.0.0.0/0 ou ::/0 em contas administrativas;
• Alterações não autorizadas em políticas, perfis, certificados e regras de inspeção.

---

7. Procedimentos de Resposta a Incidente

Em caso de suspeita de exploração da CVE-2025-64446, recomenda-se o seguinte fluxo para equipes de Blue Team / CERT / CSIRT:

1. Isolar o dispositivo: restringir acesso administrativo externo, mantendo apenas o mínimo necessário para análise e operação.
2. Coletar logs: exportar logs de sistema, eventos, auditoria e administração para um servidor seguro de análise.
3. Revisar contas de usuário: identificar contas administrativas novas ou modificadas, sobretudo com perfis elevados.
4. Analisar headers CGIINFO: quando possível, decodificar strings Base64 para determinar tentativas de impersonação de administradores.
5. Aplicar atualização de firmware para as versões corrigidas recomendadas pela Fortinet.
6. Revalidar configuração: revisar políticas, objetos, perfis e parâmetros de segurança para identificar alterações maliciosas.
7. Verificar persistência: buscar scripts, agendamentos, acessos remotos ou configurações suspeitas que indiquem backdoors.
8. Monitorar pós-correção: manter monitoramento reforçado por pelo menos 72 horas após a atualização e a revisão de segurança.

---

8. Conclusão

A CVE-2025-64446 representa uma vulnerabilidade de alta criticidade em dispositivos FortiWeb, com exploração ativa e baixo nível de complexidade técnica para o atacante. Dispositivos expostos à Internet, principalmente em ambientes de alta criticidade, estão sob risco significativo.

A atualização para versões corrigidas deve ser tratada como prioridade máxima em planos de resposta a incidentes e gestão de vulnerabilidades, especialmente em:

• Provedores de serviços de Internet (ISPs e provedores regionais);
• Órgãos públicos e infraestruturas críticas;
• Instituições financeiras e meios de pagamento;
• Ambientes acadêmicos com grande exposição de aplicações web;
• Empresas que utilizam o FortiWeb para proteger aplicações sensíveis.

Equipes de segurança devem tratar essa vulnerabilidade como um incidente de severidade máxima, combinando correção, caça a ameaças (threat hunting) e monitoramento contínuo.

---

Referências

• Fortinet Releases Security Advisory for Relative Path Traversal Vulnerability Affecting FortiWeb Products
• FortiGuard Labs – Path confusion vulnerability in GUI –https://www.fortiguard.com/psirt/FG-IR-25-910 
• NIST CVE-2025-64446 Detail – https://nvd.nist.gov/vuln/detail/CVE-2025-64446