A Falha FortiWeb representa neste momento um dos cenários de maior urgência para administradores e equipes de segurança. Uma grave vulnerabilidade de path traversal no Fortinet FortiWeb está sendo explorada ativamente e permite que atacantes criem contas de administrador sem qualquer autenticação. O risco é extremo, especialmente para dispositivos expostos à internet e executando versões anteriores à 8.0.2.
Pesquisadores confirmaram que essa vulnerabilidade Fortinet está sendo usada em ataques reais, com exploração disseminada e até uma prova de conceito pública disponível, facilitando ainda mais o abuso. Neste artigo, explicamos como funciona o FortiWeb path traversal, como identificar sinais de comprometimento e quais ações imediatas devem ser tomadas para evitar que atacantes assumam o controle total do seu dispositivo.
A situação é crítica, pois a falha combina bypass de autenticação com criação silenciosa de contas de administrador, impactando diretamente a integridade da infraestrutura de segurança de rede. A seguir, detalhamos todos os pontos essenciais e mostramos como agir imediatamente.
O que é a vulnerabilidade de travessia de diretório no FortiWeb?
A falha explorada reside em um endpoint específico da API do FortiWeb, que não valida corretamente entradas manipuladas via caracteres especiais. O caminho vulnerável /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi permite que atacantes abusem de sequências ../ para “subir” diretórios e acessar o binário fwbcgi sem autenticação.
Em termos práticos, o invasor envia requisições HTTP POST para esse endpoint e, graças ao bypass, consegue carregar payloads que criam contas locais de administrador diretamente no sistema. Isso significa que, uma vez explorada, a falha habilita controle total do appliance sem depender de credenciais legítimas.
Além disso, diversos pesquisadores classificam essa lógica como um dos casos mais perigosos de criar admin FortiWeb já documentados, já que elimina completamente a necessidade de acesso prévio ou interação do usuário.
Exploração ativa e prova de conceito pública
Os primeiros indícios de abuso foram identificados pela Defused em outubro, quando atividades suspeitas relacionadas ao endpoint vulnerável chamaram atenção. Poucos dias depois, o pesquisador Daniel Card (PwnDefend) analisou profundamente o vetor e publicou detalhes técnicos sobre como o exploit funciona.
A confirmação definitiva veio do watchTowr Labs, que reproduziu o ataque, gravou uma demonstração em vídeo e liberou uma ferramenta pública chamada FortiWeb Authentication Bypass Artifact Generator, permitindo que profissionais de segurança testem seus próprios appliances. Essa PoC pública acelerou rapidamente a disseminação da exploit chain.
Desde então, diversas equipes de threat intelligence vêm detectando ataques globais visando versões antigas do FortiWeb, reforçando que se trata de um cenário de exploit FortiWeb já consolidado e em ampla circulação.
Como saber se meu dispositivo foi comprometido? (IoCs)
Diante da exploração ativa, administradores devem agir imediatamente para identificar possíveis invasões. Os principais indicadores de comprometimento (IoCs) são claros e relativamente simples de verificar.
Verifique os logs de acesso: procure requisições HTTP POST direcionadas ao caminho /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi, especialmente se vierem de endereços ou horários incomuns.
Procure por contas de administrador suspeitas: atacantes confirmados estão criando usuários como Testpoint, trader1 e trader. Qualquer conta com privilégios elevados que não tenha sido criada por sua equipe deve ser tratada como indício crítico de invasão.
Monitore IPs de origem utilizados nos ataques:
107.152.41.19
144.31.1.63
Endereços na faixa 185.192.70.0/24
64.95.13.8
A presença de conexões ou tentativas desses IPs na interface administrativa do FortiWeb é um sinal de alerta muito forte e deve motivar uma análise de comprometimento detalhada.
Ações imediatas: como corrigir e mitigar o risco
Atualização urgente é mandatória
A Fortinet corrigiu o problema na versão FortiWeb 8.0.2, liberada no final de outubro. A Rapid7 confirmou que todas as versões 8.0.1 e anteriores estão vulneráveis e podem ser exploradas sem qualquer dificuldade adicional.
A aplicação da atualização é a única forma garantida de eliminar completamente o vetor de ataque. Se sua organização ainda utiliza versões antigas, considere o dispositivo criticamente exposto até a atualização ser concluída.
Boas práticas de segurança (Mitigação)
Mesmo após atualizar, recomenda-se reforçar medidas adicionais para reduzir a superfície de ataque.
Evite expor a interface de gerenciamento diretamente à internet, independentemente do produto. Essa prática aumenta drasticamente o risco de exploração. Interfaces administrativas devem ser acessíveis apenas por redes internas ou por meio de uma VPN protegida.
Se possível, implemente MFA, auditoria contínua de contas e limite de IPs autorizados. Essas medidas não substituem o patch, mas ajudam a conter tentativas futuras.
Conclusão: não espere, verifique agora
A combinação de path traversal, bypass de autenticação, exploração ativa e PoC pública coloca o FortiWeb em uma posição extremamente vulnerável neste momento. Se sua organização usa o produto, a ação imediata é indispensável.
Atualize para a versão 8.0.2 o quanto antes, verifique logs, revise contas de administrador e monitore os IoCs listados. Cada minuto sem correção aumenta o risco de invasão, perda de controle e danos significativos ao ambiente.
A Falha FortiWeb já está sendo usada por atacantes reais. A melhor defesa agora é ação rápida, investigação cuidadosa e aplicação imediata das correções disponíveis.
