Pesquisadores em cibersegurança alertam para uma falha crítica de authentication bypass no Fortinet FortiWeb WAF que pode permitir a um atacante assumir contas de administrador e comprometer completamente o dispositivo.
Segundo Benjamin Harris, CEO e fundador da watchTowr, “a equipe está acompanhando a exploração ativa e indiscriminada, em ambiente real, de uma vulnerabilidade aparentemente corrigida silenciosamente no produto FortiWeb da Fortinet”.
A falha foi corrigida na versão 8.0.2 e permite que invasores executem ações com privilégios elevados.
A exploração identificada na prática tem como alvo a criação de contas administrativas, um método básico para garantir persistência pelos atacantes.
A empresa de segurança conseguiu reproduzir a vulnerabilidade e desenvolveu um proof-of-concept (PoC) funcional.
Também liberou uma ferramenta para gerar artefatos do authentication bypass, facilitando a identificação de dispositivos vulneráveis.
De acordo com dados divulgados pelo Defused e pelo pesquisador Daniel Card, da PwnDefend, o agente malicioso envia um payload para o caminho “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” por meio de uma requisição HTTP POST, com o objetivo de criar uma nova conta administrativa.
Alguns dos nomes de usuário e senhas criados pelos payloads detectados são:
- Testpoint / AFodIUU3Sszp5
- trader1 / 3eMIXX43
- trader / 3eMIXX43
- test1234point / AFT3$tH4ck
- Testpoint / AFT3$tH4ck
- Testpoint / AFT3$tH4ckmet0d4yaga!n
Até o momento, a origem e a identidade do atacante permanecem desconhecidas.
A atividade de exploração foi identificada no início do mês passado.
A Fortinet ainda não atribuiu um identificador CVE nem publicou um advisory oficial em seu feed PSIRT.
O site The Hacker News entrou em contato com a Fortinet para buscar um posicionamento e atualizará a reportagem assim que receber resposta.
Enquanto isso, a Rapid7 recomenda que organizações que ainda utilizam versões anteriores à 8.0.2 do Fortinet FortiWeb encarem a vulnerabilidade como uma emergência e a corrijam imediatamente.
A empresa também relatou a oferta à venda de um suposto exploit zero-day para o FortiWeb em um fórum clandestino em 6 de novembro de 2025, embora não esteja claro se este exploit é o mesmo.
“Enquanto aguardamos uma resposta da Fortinet, usuários e empresas enfrentam um processo já conhecido: buscar indícios de comprometimentos anteriores, contatar a Fortinet para obter mais informações e aplicar patches, caso ainda não o tenham feito”, reforça Harris.
“Dado o padrão de exploração indiscriminada observado, é provável que dispositivos sem patch já estejam comprometidos.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...