CISA dos EUA adiciona falha Fortinet FortiWeb ao seu catálogo de vulnerabilidades exploradas conhecidas – Against Invaders

CISA dos EUA adiciona falha Fortinet FortiWeb ao seu catálogo de vulnerabilidades exploradas conhecidas - Against Invaders

CISA dos EUA adiciona Fortinet FortiWebflaw ao seu catálogo de vulnerabilidades exploradas conhecidas

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adiciona a falha Fortinet FortiWeb ao seu catálogo de Vulnerabilidades Exploradas Conhecidas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA)Adicionado uma falha do Fortinet FortiWeb, rastreada como CVE-2025-64446 (pontuação CVSS de 9,1), para sua Catálogo de vulnerabilidades exploradas conhecidas (KEV).

A vulnerabilidade é um problema relativo de travessia de caminho no Fortinet FortiWeb 8.0.0 a 8.0.1, FortiWeb 7.6.0 a 7.6.4, FortiWeb 7.4.0 a 7.4.9, FortiWeb 7.2.0 a 7.2.11, FortiWeb 7.0.0 a 7.0.11. Um invasor pode explorar a falha para executar comandos administrativos no sistema, enviando solicitações HTTP ou HTTPS criadas para dispositivos vulneráveis.

“Uma vulnerabilidade relativa de travessia de caminho [CWE-23] no FortiWeb pode permitir que um invasor não autenticado execute comandos administrativos no sistema por meio de solicitações HTTP ou HTTPS.” lê o comunicado. “A Fortinet observou que isso é explorado na natureza”

O fornecedor de segurança cibernética recomenda desabilitar o HTTP/HTTPS em interfaces voltadas para a Internet até a atualização. Se o acesso do gerenciamento for apenas interno, o risco será bastante reduzido.

De acordo comDiretiva Operacional Vinculativa (BOD) 22-01: Reduzindo o Risco Significativo de Vulnerabilidades Exploradas Conhecidas, as agências FCEB precisam resolver as vulnerabilidades identificadas até a data de vencimento para proteger suas redes contra ataques que exploram as falhas no catálogo.

Os especialistas também recomendam que as organizações privadas revisem oCatálogoe abordar as vulnerabilidades em sua infraestrutura.

A CISA ordena que as agências federais corrijam as vulnerabilidades até 21 de novembro de 2025.

Esta semana, pesquisadores Avisado de uma falha de desvio de autenticação no Fortinet FortiWeb WAF que permite a aquisição total do dispositivo. O fornecedor de segurança cibernética abordou a vulnerabilidade com o lançamentoVersão 8.0.2.

A falha de segurança permite que qualquer pessoa invada dispositivos FortiWeb e obtenha controle total do administrador. O problema foi divulgado publicamente depois que a Defused compartilhou um PoC em 6 de outubro de 2025, após tentativas reais de ataque capturadas por seu honeypot.

watchTowr Labs confirmou o exploit FortiWeb e publicou o vídeo PoC no X. A equipe também lançou uma ferramenta, o “Gerador de artefatos de desvio de autenticação FortiWeb“, que tenta explorar a falha criando uma conta de administrador com um nome de usuário aleatório de 8 caracteres.

Desarmado e pesquisadorCartão Danielrelatam que os invasores estão explorando a falha enviando uma solicitação HTTP POST criada para “/api/v2.0/cmdb/system/admin%3F/.. /.. /.. /.. /.. /cgi-bin/fwbcgi” para criar uma nova conta de administrador.

“Então, isso já é público e já está sendo pulverizado pela internet, sempre há uma preocupação aqui quando pensamos em quanta informação compartilhar/publicar etc. Portanto, não vou escrever os detalhes completos, mas darei o suficiente para ajudar na lógica de detecção (outra pessoa é livre para fazer mais, essa é sua própria escolha!)”Cartão explicado.

O TA parece enviar uma carga para o seguinte endpoint de URL por meio de uma solicitação HTTP POST

/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi

Dentro disso, há uma carga útil para criar uma conta de usuário.”

Card extraiu as seguintes credenciais das cargas:

Nome de usuário Senha
Ponto de teste AFodIUU3Sszp5
comerciante1 3eMIXX43
comerciante 3eMIXX43
teste1234ponto AFT3$tH4ck
Ponto de teste AFT3$tH4ck
Ponto de teste AFT3$tH4ckmet0d4yaga!n

Neste momento, não está claro quem está por trás das tentativas de exploração.

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de SegurançaHackingCISA)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.