Vulnerabilidade crítica no FortiWeb: Fortinet e CISA recomendam atualizações urgentes

Vulnerabilidade crítica no FortiWeb: Fortinet e CISA recomendam atualizações urgentes

Vulnerabilidade crítica no FortiWeb: Fortinet e CISA recomendam atualizações urgentes

Redazione RHC:15 Novembro 2025 10:54

A Fortinet confirmou a descoberta de uma vulnerabilidade de caminho relativo crítico (CWE-23) em dispositivos FortiWeb, identificada como CVE-2025-64446 e registrado como Número IR: FG-IR-25-910 .

A falha, publicada em 14 de novembro de 2025, afeta principalmente a interface de gerenciamento da GUI e permite que um invasor não autenticado execute comandos administrativos por meio de solicitações HTTP ou HTTPS manipuladas. A vulnerabilidade é classificada como crítica, com uma pontuação CVSSv3 de 9,1, e o principal risco é o controle de acesso inadequado, o que pode levar a um comprometimento grave do sistema.

De acordo com a Fortinet, a vulnerabilidade já foi explorada em cenários do mundo real, aumentando a urgência de tomar medidas corretivas. O acesso não autorizado a dispositivos FortiWeb pode permitir que os invasores obtenham controle administrativo total, potencialmente resultando em sérias consequências para a segurança da rede corporativa.

As versões vulneráveis do FortiWeb e as atualizações recomendadas são:

Versão Afetado Solução
FortiWeb 8.0 8.0.0 até 8.0.1 Atualize para 8.0.2 ou superior
FortiWeb 7.6 7.6.0 até 7.6.4 Atualize para 7.6.5 ou superior
FortiWeb 7.4 7.4.0 até 7.4.9 Atualize para 7.4.10 ou superior
FortiWeb 7.2 7.2.0 a 7.2.11 Atualize para 7.2.12 ou superior
FortiWeb 7.0 7.0.0 até 7.0.11 Atualize para 7.0.12 ou superior

Como medida temporária, a Fortinet recomenda desabilitar o acesso HTTP e HTTPS em interfaces voltadas para a Internet. Se o acesso HTTP/HTTPS for limitado a redes internas, de acordo com as práticas recomendadas de segurança, o risco de explorar a vulnerabilidade será significativamente reduzido. Essa solução permite a mitigação temporária da ameaça até que as atualizações corretivas sejam instaladas.

Após a atualização, os administradores do sistema devem revisar cuidadosamente as configurações do dispositivo e analisar os logs para identificar quaisquer alterações não autorizadas ou a criação de contas administrativas suspeitas. Essas auditorias são essenciais para garantir que quaisquer tentativas anteriores de comprometimento sejam detectadas e corrigidas.

A Fortinet também disponibilizou pacotes de atualização nos formatos CVRF e CSAF para gerenciamento estruturado de vulnerabilidades. A empresa pede a todos os clientes que tomem medidas imediatas, dada a gravidade crítica da falha, sua presença em cenários de exploração do mundo real e sua inclusão no catálogo CISA KEV.

Alto risco de interfaces de administração expostas

Não é recomendado tornar as interfaces de administração de dispositivos como o FortiWeb acessíveis pela Internet. Mesmo com atualizações disponíveis ou sistemas de autenticação implementados, o risco permanece alto: Um patch pode ainda não ter sido aplicado ou a autenticação pode conter vulnerabilidades .

Expor a GUI publicamente expõe toda a empresa a possíveis ataques, incluindo os automatizados, tornando o sistema vulnerável a comprometimentos críticos. A regra fundamental da segurança de dispositivos de rede é que o acesso administrativo deve sempre ser limitado a redes internas seguras e nunca se tornar público diretamente.

Reduza a exposição: esta é a chave para o sucesso.

Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.

Lista degli articoli

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.