Alerta Técnico – Vulnerabilidade CVE-2025-64446
Data: 14/11/2025
Severidade: Crítica – CVSS 9.8
Status: Explorada ativamente desde outubro/2025
Produtos afetados: FortiWeb 7.0 a 8.0 (múltiplas versões)
Resumo Executivo
Em 14 de novembro de 2025, a Fortinet e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgaram um alerta sobre uma vulnerabilidade crítica de Path Traversal (CWE-23) que afeta os produtos FortiWeb, o Web Application Firewall (WAF) da Fortinet. A falha, identificada como CVE-2025-64446, possui uma pontuação CVSSv3 de 9.8 (Crítica) e está sendo ativamente explorada por atacantes desde o início de outubro de 2025 1.
A vulnerabilidade permite que um atacante não autenticado execute comandos administrativos remotos em sistemas vulneráveis, levando a um comprometimento total do dispositivo. A CISA já adicionou esta falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com um prazo de remediação obrigatório até 21 de novembro de 2025
1. Visão Geral da Vulnerabilidade
A CVE-2025-64446 é uma vulnerabilidade crítica de Path Traversal (CWE-23) combinada com bypass de autenticação, permitindo que um atacante não autenticado execute operações administrativas via CGI (fwbcgi).
Esta é a terceira vulnerabilidade crítica da linha FortiWeb nos últimos 18 meses, reforçando o padrão preocupante de falhas severas na superfície de ataque de dispositivos de borda da Fortinet.
A falha ocorre em dois estágios principais:
- Path Traversal no endpoint
/api/v2.0/… - Impersonação via header
CGIINFO(base64) aceito pela funçãocgi_auth()sem validação real
O resultado é o comprometimento total do dispositivo FortiWeb, com capacidade de persistência, desvio de políticas de segurança e movimentação lateral na rede.
A falha foi adicionada em 14/11/2025 ao catálogo CISA KEV (Known Exploited Vulnerabilities Catalog) com prazo de mitigação obrigatório até 21/11/2025.
2. Detalhes de Exploração
2.1 Estágio 1 – Path Traversal
No primeiro estágio, o atacante utiliza um endpoint de API válido para escapar do diretório esperado e alcançar o executável administrativo fwbcgi:
POST /api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi HTTP/1.1
O Path Traversal permite que requisições atinjam o binário fwbcgi, responsável por operações administrativas no dispositivo.
2.2 Estágio 2 – Impersonação via CGIINFO
O binário fwbcgi utiliza a função cgi_auth(), que:
- não valida corretamente credenciais de autenticação;
- aceita um header HTTP chamado
CGIINFO; - confia em informações de identidade fornecidas em JSON, codificadas em Base64.
Exemplo de payload JSON, antes de ser codificado em Base64:
{
"username": "admin",
"profname": "super_admin",
"vdom": "root",
"loginname": "admin"
}
Quando esse payload é aceito, o sistema concede privilégios administrativos completos, permitindo ao atacante criar novas contas, alterar configurações e manter persistência no dispositivo.
3. Impacto Operacional
Um atacante que explore com sucesso a CVE-2025-64446 pode:
- Criar usuários administradores persistentes e ocultos;
- Modificar políticas, regras e perfis de proteção do WAF;
- Desabilitar ou contornar mecanismos de segurança;
- Exfiltrar dados inspecionados e registrados pelo WAF;
- Realizar movimentação lateral a partir do dispositivo comprometido.
Por se tratar de um WAF de borda, a vulnerabilidade abre um vetor crítico para ataques internos a partir de um equipamento que, normalmente, é considerado parte da camada de proteção.
4. Versões Afetadas (Confirmadas)
| Produto | Versões Vulneráveis |
|---|---|
| FortiWeb 8.0 | 8.0.0 – 8.0.1 |
| FortiWeb 7.6 | 7.6.0 – 7.6.4 |
| FortiWeb 7.4 | 7.4.0 – 7.4.9 |
| FortiWeb 7.2 | 7.2.0 – 7.2.11 |
| FortiWeb 7.0 | 7.0.0 – 7.0.11 |
5. Ação Recomendada (Imediata)
5.1 Atualizar Firmware – Única Remediação Definitiva
A Fortinet disponibilizou versões corrigidas. (Fortinet PSIRT FG-IR-25-910). A atualização é a única forma de remediação completa:
| Versão Atual | Atualizar para |
|---|---|
| 8.0.x | 8.0.2 |
| 7.6.x | 7.6.5 |
| 7.4.x | 7.4.10 |
| 7.2.x | 7.2.12 |
| 7.0.x | 7.0.12 |
5.2 Mitigação Temporária (Workaround)
Se a atualização não puder ser aplicada imediatamente, recomenda-se:
- Bloquear o acesso HTTP/HTTPS externo às interfaces administrativas do FortiWeb;
- Permitir acesso de administração apenas por redes internas ou via VPN segura;
- Monitorar tráfego para
/cgi-bin/fwbcgie padrões anômalos envolvendo/api/v2.0/...com Path Traversal.
Atenção: a mitigação reduz a superfície de ataque, mas não elimina a vulnerabilidade. A atualização de firmware continua obrigatória.
6. Indicadores de Comprometimento (IoCs)
6.1 Rede / Proxy / WAF Logs
Procurar por requisições com padrão de Path Traversal direcionadas ao binário CGI:
/api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi
Além disso, monitorar requisições contendo o header CGIINFO com conteúdo Base64, principalmente oriundas de IPs externos ou não autorizados.
CGIINFO: <string_base64_suspeita>
IPs com múltiplas tentativas de POST para esses caminhos devem ser tratados como suspeitos, com correlação adicional em outros logs.
6.2 Sistema / Configurações
Nos próprios dispositivos FortiWeb, verificar:
- Criação de novas contas de administrador, principalmente a partir de outubro de 2025;
- Contas com perfil de acesso prof_admin ou super_admin não reconhecidas pela equipe de segurança;
- Configurações de trust host definidas como
0.0.0.0/0ou::/0em contas administrativas; - Alterações não autorizadas em políticas, perfis, certificados e regras de inspeção.
7. Procedimentos de Resposta a Incidente
Em caso de suspeita de exploração da CVE-2025-64446, recomenda-se o seguinte fluxo para equipes de Blue Team / CERT / CSIRT:
- Isolar o dispositivo: restringir acesso administrativo externo, mantendo apenas o mínimo necessário para análise e operação.
- Coletar logs: exportar logs de sistema, eventos, auditoria e administração para um servidor seguro de análise.
- Revisar contas de usuário: identificar contas administrativas novas ou modificadas, sobretudo com perfis elevados.
- Analisar headers CGIINFO: quando possível, decodificar strings Base64 para determinar tentativas de impersonação de administradores.
- Aplicar atualização de firmware para as versões corrigidas recomendadas pela Fortinet.
- Revalidar configuração: revisar políticas, objetos, perfis e parâmetros de segurança para identificar alterações maliciosas.
- Verificar persistência: buscar scripts, agendamentos, acessos remotos ou configurações suspeitas que indiquem backdoors.
- Monitorar pós-correção: manter monitoramento reforçado por pelo menos 72 horas após a atualização e a revisão de segurança.
8. Conclusão
A CVE-2025-64446 representa uma vulnerabilidade de alta criticidade em dispositivos FortiWeb, com exploração ativa e baixo nível de complexidade técnica para o atacante. Dispositivos expostos à Internet, principalmente em ambientes de alta criticidade, estão sob risco significativo.
A atualização para versões corrigidas deve ser tratada como prioridade máxima em planos de resposta a incidentes e gestão de vulnerabilidades, especialmente em:
- Provedores de serviços de Internet (ISPs e provedores regionais);
- Órgãos públicos e infraestruturas críticas;
- Instituições financeiras e meios de pagamento;
- Ambientes acadêmicos com grande exposição de aplicações web;
- Empresas que utilizam o FortiWeb para proteger aplicações sensíveis.
Equipes de segurança devem tratar essa vulnerabilidade como um incidente de severidade máxima, combinando correção, caça a ameaças (threat hunting) e monitoramento contínuo.
Referências
- Fortinet Releases Security Advisory for Relative Path Traversal Vulnerability Affecting FortiWeb Products
- FortiGuard Labs – Path confusion vulnerability in GUI –https://www.fortiguard.com/psirt/FG-IR-25-910
- NIST CVE-2025-64446 Detail – https://nvd.nist.gov/vuln/detail/CVE-2025-64446
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.