O que é a vulnerabilidade no FortiWeb

Pesquisadores de segurança emitiram um alerta sobre uma vulnerabilidade grave no Fortinet FortiWeb, que permite a invasores criar contas de administrador e assumir o controle total do dispositivo. A falha, que foi silenciosamente corrigida na versão 8.0.2, já está sendo amplamente explorada, permitindo que criminosos mantenham acesso mesmo após reinicializações.

Como funciona

O problema combina duas falhas: uma vulnerabilidade de path traversal no endpoint responsável por gerenciar administradores e uma brecha de autenticação ligada ao cabeçalho CGIINFO. Juntas, essas falhas permitem que o invasor envie uma requisição HTTP especialmente construída, imitando qualquer usuário, inclusive o administrador padrão.

Pesquisadores revelaram que o binário “fwbcgi” aceita dados JSON fornecidos pelo atacante para definir campos como username, profname e loginname. Com isso, o invasor pode criar novas contas e realizar ações com privilégios máximos.

Sinais de alerta / Como identificar

Sinais de exploração foram detectados no início do mês anterior, mas a origem do grupo responsável ainda é desconhecida. A ausência de um CVE oficial ou comunicado da Fortinet deixa muitas organizações sem clareza sobre o risco real. Recentemente, um suposto zero-day para FortiWeb foi oferecido em fóruns clandestinos, indicando que a exploração já está em curso.

O que fazer agora / Como se proteger

Dica de prevenção: Empresas que utilizam versões anteriores à 8.0.2 devem atualizar imediatamente e procurar sinais de comprometimento, como criação de contas suspeitas. É recomendado revisar logs, reforçar monitoramento e considerar auditorias de segurança independentes.

Prevenção / Boas práticas

1. Atualizar o FortiWeb para a versão 8.0.2 ou superior.
2. Monitorar logs para identificar atividades suspeitas.
3. Reforçar o monitoramento de rede e sistemas.
4. Isolar equipamentos potencialmente afetados.
5. Considerar auditorias de segurança independentes para avaliação completa.

Perguntas frequentes

Qual é a gravidade da vulnerabilidade no FortiWeb?

A vulnerabilidade permite que invasores criem contas de administrador, oferecendo controle total do dispositivo, o que é extremamente grave para a segurança da rede.

Como posso saber se meu FortiWeb foi comprometido?

Verifique a existência de contas suspeitas, revise logs de acesso e monitore atividades anômalas que possam indicar comprometimento.

O que devo fazer se não puder atualizar imediatamente?

Se a atualização não for possível, implemente medidas de monitoramento rigorosas e considere isolar o dispositivo até que a atualização possa ser realizada.