Falha crítica do FortiWeb sob ataque, permitindo comprometimento completo

Falha crítica do FortiWeb sob ataque, permitindo comprometimento completo

Falha crítica do FortiWeb sob ataque, permitindo comprometimento completo

Uma falha de desvio de autenticação Fortinet FortiWeb está sendo explorada ativamente, permitindo que invasores sequestrem contas de administrador e comprometam totalmente os dispositivos.

Pesquisadores alertam para uma falha de desvio de autenticação no Fortinet FortiWeb WAF que permite a aquisição total do dispositivo.

O fornecedor de segurança cibernética abordou a vulnerabilidade com o lançamento Versão 8.0.2.

Uma falha de segurança permite que qualquer pessoa invada dispositivos FortiWeb e obtenha controle total do administrador. O problema foi divulgado publicamente depois que a Defused compartilhou um PoC em 6 de outubro de 2025, após tentativas reais de ataque capturadas por seu honeypot.

⚠️Exploit desconhecido do Fortinet (possivelmente uma variante CVE-2022-40684) de 64.95.13.8 🇺🇸 ( BLNWX )

Detecções do VirusTotal: 0/95 🟢

A carga útil JWT se traduz em:

{
“nome de usuário”: “admin”,
“profname”: “prof_admin”,
“vdom”: “raiz”,
“nome de login”: “admin”
} pic.twitter.com/IdTcdxBuBf

— Desarmado (@DefusedCyber) 6 de outubro de 2025

watchTowr Labs confirmou o exploit FortiWeb e publicou o vídeo PoC no X. A equipe também lançou uma ferramenta, o “Gerador de artefatos de desvio de autenticação FortiWeb“, que tenta explorar a falha criando uma conta de administrador com um nome de usuário aleatório de 8 caracteres.

Desarmado e pesquisador Cartão Daniel relatam que os invasores estão explorando a falha enviando uma solicitação HTTP POST criada para “/api/v2.0/cmdb/system/admin%3F/.. /.. /.. /.. /.. /cgi-bin/fwbcgi” para criar uma nova conta de administrador.

“Então, isso já é público e já está sendo pulverizado pela internet, sempre há uma preocupação aqui quando pensamos em quanta informação compartilhar/publicar etc. Portanto, não vou escrever os detalhes completos, mas darei o suficiente para ajudar na lógica de detecção (outra pessoa é livre para fazer mais, essa é sua própria escolha!)” Cartão explicado.

O TA parece enviar uma carga para o seguinte endpoint de URL por meio de uma solicitação HTTP POST

/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi

Dentro disso, há uma carga útil para criar uma conta de usuário.”

Card extraiu as seguintes credenciais das cargas:

Nome de usuário Senha
Ponto de teste AFodIUU3Sszp5
comerciante1 3eMIXX43
comerciante 3eMIXX43
teste1234ponto AFT3$tH4ck
Ponto de teste AFT3$tH4ck
Ponto de teste AFT3$tH4ckmet0d4yaga!n

Neste momento, não está claro quem está por trás das tentativas de exploração.

Em 6 de novembro de 2025, pesquisadores do Rapid7 Labs Observou a venda de um suposto exploit de dia zero direcionado ao FortiWeb em um popular fórum de chapéu preto.

No entanto, não está claro se é a mesma exploração descrita pelos pesquisadores.

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking,FortiWeb)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.