Pesquisadores de segurança emitiram um alerta sobre uma vulnerabilidade grave no Fortinet FortiWeb, que permite a invasores criar contas de administrador e assumir o controle total do dispositivo. A falha, que foi silenciosamente corrigida na versão 8.0.2, já está sendo explorada de forma ampla e indiscriminada, segundo a watchTowr. Esses ataques adicionam usuários privilegiados como mecanismo de persistência, permitindo que criminosos mantenham acesso mesmo após reinicializações ou ajustes de configuração.
O problema combina duas falhas: uma vulnerabilidade de path traversal no endpoint responsável por gerenciar administradores e uma brecha de autenticação ligada ao cabeçalho CGIINFO. Juntas, elas permitem que o invasor envie uma requisição HTTP especialmente construída, imitando qualquer usuário — inclusive o próprio administrador padrão do equipamento. Com isso, é possível criar novas contas, alterar configurações críticas e realizar qualquer ação com privilégios máximos.
Pesquisadores revelaram ainda que o binário “fwbcgi” aceita dados JSON fornecidos pelo atacante para definir campos como username, profname e loginname. Como o perfil do usuário “admin” é padronizado e idêntico em todos os dispositivos, basta ao invasor inserir esses valores para se passar por ele. Amostras coletadas mostram credenciais criadas pelos atacantes, evidenciando que a exploração já está em curso em diferentes ambientes.
Embora a origem do grupo responsável ainda seja desconhecida, sinais de exploração foram detectados no início do mês anterior. A situação é agravada pelo fato de que não há CVE oficial nem comunicado publicado pela Fortinet, o que deixa muitas organizações sem clareza sobre o risco real. Segundo a Rapid7, um suposto zero-day para FortiWeb foi inclusive oferecido em fóruns clandestinos recentemente.
Dica de prevenção
Empresas que utilizam versões anteriores à 8.0.2 devem atualizar imediatamente e procurar sinais de comprometimento, como criação de contas suspeitas. Também é recomendado revisar logs, reforçar monitoramento, isolar equipamentos potencialmente afetados e considerar auditorias de segurança independentes.
Conclusão
Essa vulnerabilidade mostra como dispositivos essenciais podem se tornar ponto de entrada crítico quando não atualizados. Para fortalecer sua infraestrutura com pentests, threat intelligence com IA, auditorias internas, conscientização e estruturação de processos de segurança, conheça a LC SEC em lcsec.io.
Compartilhe nas redes sociais:
