Uma vulnerabilidade no FortiWeb poderia permitir a execução remota de código – Against Invaders

NÚMERO DE ASSESSORIA MS-ISAC:

2025-107

DATA(S) DE EMISSÃO:

11/14/2025

VISÃO GERAL:

Foi descoberta uma vulnerabilidade no FortiWeb, que pode permitir a execução remota de código. FortiWeb é um firewall de aplicações web (WAF) desenvolvido pela Fortinet. Ele foi projetado para proteger aplicações web e APIs contra uma ampla gama de ataques, incluindo aqueles que visam vulnerabilidades conhecidas e exploits zero-day. A exploração bem-sucedida dessa vulnerabilidade poderia permitir que um atacante execute comandos administrativos no sistema por meio de requisições HTTP ou HTTPS elaboradas.

INTELIGÊNCIA DE AMEAÇAS:

Fortinet observou que isso é explorado na natureza. A CISA também adicionou a vulnerabilidade ao Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).

SISTEMAS AFETADOS:

  • FortiWeb versões 8.0.0 a 8.0.1
  • FortiWeb versões 7.6.0 a 7.6.4
  • Versões 7.4.0 a 7.4.9 do FortiWeb
  • FortiWeb versões 7.2.0 a 7.2.11
  • FortiWeb versões 7.0.0 a 7.0.11

RISCO:

Governo:

Entidades governamentais grandes e médiasALTO

Governo pequenoMÉDIA

Empresas:

Grandes e médias empresasALTO

Pequenas empresasMÉDIA

RESUMO TÉCNICO:

Foi descoberta uma vulnerabilidade no FortiWeb, que pode permitir a execução remota de código. Os detalhes da vulnerabilidade são os seguintes:

Tática: Acesso Inicial(TA0001):

Técnica: Explorar Aplicação Voltada ao Público(T1190):

  • Uma vulnerabilidade relativa na travessia de trajetórias [CWE-23] no FortiWeb pode permitir que um atacante não autenticado execute comandos administrativos no sistema por meio de requisições HTTP ou HTTPS elaboradas. Se a interface de gerenciamento HTTP/HTTPS for acessível internamente apenas conforme as melhores práticas, o risco é significativamente reduzido. (CVE-2025-25257)

A exploração bem-sucedida dessa vulnerabilidade poderia permitir que um atacante executasse comandos administrativos no sistema por meio de requisições HTTP ou HTTPS elaboradas.

RECOMENDAÇÕES:

Recomendamos que as seguintes ações sejam tomadas:

  • Aplique as atualizações apropriadas fornecidas pela Fortiguard aos sistemas vulneráveis imediatamente após os testes adequados. (M1051: Software de Atualização)
  • Safeguard 7.1: Estabeleça e Mantenha um Processo de Gerenciamento de Vulnerabilidades: Estabelecer e manter um processo documentado de gerenciamento de vulnerabilidades para ativos empresariais. Revise e atualize a documentação anualmente, ou quando ocorrerem mudanças significativas na empresa que possam impactar essa Salvaguarda.
  • Salvaguarda 7.2: Estabelecer e Manter um Processo de Remediação:Estabeleça e mantenha uma estratégia de remediação baseada em riscos, documentada em um processo de remediação, com revisões mensais ou mais frequentes.
  • Safeguard 7.4: Realize Gerenciamento Automatizado de Patches de Aplicações:Realize atualizações de aplicativos em ativos empresariais por meio de gerenciamento automatizado de patches mensalmente, ou com maior frequência.
  • Safeguard 7.5: Realize Varreduras Automáticas de Vulnerabilidades dos Ativos Internos da Empresa: Realizar varreduras automatizadas de vulnerabilidades dos ativos internos da empresa trimestralmente ou com maior frequência. Realize varreduras autenticadas e não autenticadas, utilizando uma ferramenta de varredura de vulnerabilidades compatível com SCAP.
  • Safeguard 7.7: Remediar Vulnerabilidades Detectadas:Remediar vulnerabilidades detectadas em softwares por meio de processos e ferramentas mensalmente, ou com mais frequência, com base no processo de remediação.
  • Safeguard 12.1: Garantir que a infraestrutura de rede esteja atualizada:Garanta que a infraestrutura da rede seja mantida atualizada. Exemplos de implementações incluem executar a versão mais recente e estável de software e/ou usar as ofertas de rede como serviço (NaaS) atualmente suportadas. Revise as versões do software mensalmente, ou com mais frequência, para verificar o suporte ao software.
  • Safeguard 18.1: Estabeleça e Mantenha um Programa de Testes de Penetração:Estabelecer e manter um programa de testes de penetração adequado ao tamanho, complexidade e maturidade da empresa. As características dos programas de teste de penetração incluem escopo, como rede, aplicação web, Interface de Programação de Aplicações (API), serviços hospedados e controles físicos de instalação; frequência; limitações, como horas aceitáveis, e tipos de ataque excluídos; informações de ponto de contato; Remediação, como como serão as descobertas ROUted internamente; e requisitos retrospectivos.
  • Safeguard 18.2: Realize Testes de Penetração Externos Periódicos:Realize testes de penetração externos periódicos baseados nos requisitos do programa, no mínimo anualmente. Testes de penetração externos devem incluir reconhecimento empresarial e ambiental para detectar informações exploráveis. O teste de penetração exige habilidades e experiência especializadas e deve ser realizado por meio de uma parte qualificada. O teste pode ser de caixa transparente ou opaca.
  • Safeguard 18.3: Remediar Resultados de Testes de Penetração:Remediar os resultados dos testes de penetração com base na política da empresa para escopo e priorização da remediação.
  • Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços. Execute todo o software como um usuário não privilegiado (sem privilégios administrativos) para minimizar os efeitos de um ataque bem-sucedido. (M1026: Gerenciamento de Contas Privilegiadas)
  • Safeguard 4.7: Gerencie Contas Padrão em Ativos e Softwares Empresariais:Gerencie contas padrão em ativos e softwares empresariais, como root, administrador e outras contas pré-configuradas de fornecedores. Exemplos de implementações podem incluir: desativar contas padrão ou torná-las inutilizáveis.
  • Salvaguarda 5.5: Estabeleça e Mantenha um Inventário de Contas de Serviço:Estabeleça e mantenha um inventário de contas de serviço. O inventário, no mínimo, deve conter o proprietário do departamento, a data da revisão e o propósito. Realize revisões de contas de serviço para validar que todas as contas ativas são autorizadas, em um cronograma recorrente pelo menos trimestral ou com mais frequência.
  • A varredura de vulnerabilidades é usada para encontrar vulnerabilidades de software potencialmente exploráveis para corrigi-las. (M1016:Varredura de Vulnerabilidades)
  • Safeguard 16.13: Realize Testes de Penetração de Aplicação:Realize testes de penetração de aplicações. Para aplicações críticas, o teste de penetração autenticado é mais adequado para encontrar vulnerabilidades na lógica de negócios do que a varredura de código e testes automatizados de segurança. O teste de penetração depende da habilidade do testador de manipular manualmente um aplicativo como usuário autenticado e não autenticado.
  • Arquitetar seções da rede para isolar sistemas, funções ou recursos críticos. Use segmentação física e lógica para evitar o acesso a sistemas e informações potencialmente sensíveis. Use uma DMZ para conter quaisquer serviços voltados para a internet que não devam ser expostos pela rede interna. Configure instâncias separadas de nuvem privada virtual (VPC) para isolar sistemas críticos de nuvem. (M1030:Segmentação de Rede)
  • Safeguard 12.2: Estabeleça e Mantenha uma Arquitetura de Rede Segura: Estabelecer e manter uma arquitetura de rede segura. Uma arquitetura de rede segura deve abordar, no mínimo, segmentação, privilégios mínimos e disponibilidade.
  • Use capacidades para detectar e bloquear condições que possam levar ou indicar que um exploit de software está ocorrendo. (M1050:Proteção contra Exploits)
  • Safeguard 10.5:Ative Recursos Antiexploração:Ative recursos anti-exploração em ativos e softwares empresariais, sempre que possível, como Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) ou Apple® System Integrity Protection (SIP) e Gatekeeper™.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.