Pesquisadores descobrem “chave mestra” em firewall da Fortinet. A brecha, que já está sendo explorada ativamente por criminosos, permite assumir o controle total do dispositivo de segurança enviando apenas alguns comandos.
Uma vulnerabilidade de gravidade extrema foi descoberta no FortiWeb, a solução de Firewall de Aplicações Web (WAF) da gigante de cibersegurança Fortinet. A falha permite que atacantes remotos, sem qualquer credencial de acesso, criem contas com privilégios administrativos no sistema. Em termos simples: um hacker pode se tornar “dono” do equipamento de segurança da sua empresa sem precisar descobrir nenhuma senha.
O alerta é urgente. A falha afeta uma ampla gama de versões do software (entre a 7.0.0 e a 8.0.1) e, segundo pesquisadores de segurança, já está sendo explorada ativamente em ambientes reais. Isso significa que grupos cibercriminosos já desenvolveram ferramentas para varrer a internet em busca de dispositivos vulneráveis e invadi-los automaticamente.
A Fortinet já liberou uma correção na versão 8.0.2, e a atualização imediata é considerada mandatória para qualquer organização que utilize o equipamento.
O Que é o FortiWeb e Por Que Isso é Grave?
Para o leitor leigo, o FortiWeb funciona como um “porteiro digital” de alta segurança. Ele é colocado na frente de sites e aplicações empresariais para filtrar o tráfego, bloqueando ataques, robôs maliciosos e tentativas de roubo de dados.
Quando uma falha dessa magnitude atinge o próprio “porteiro”, as consequências são catastróficas. Ao explorar essa brecha, o invasor não apenas passa pelo porteiro; ele se torna o chefe da segurança. Com acesso administrativo (root), o criminoso pode:
- Desativar as defesas: Permitindo que outros ataques passem livremente para a rede interna da empresa.
- Roubar dados: Interceptar informações sensíveis que passam pelo firewall, como senhas de usuários e dados de cartões de crédito.
- Implantar persistência: Instalar malwares dentro do próprio firewall para manter o acesso mesmo que a senha seja trocada depois.
Anatomia do Ataque: Como a Falha Funciona?
A vulnerabilidade é resultado de uma combinação perigosa de dois erros de programação. Para entender, vamos usar uma analogia e depois a explicação técnica.
A Analogia: Imagine que, para entrar na sala da diretoria, você precise de um crachá especial. O sistema de segurança tem uma falha: se você escrever “DIRETOR” em um pedaço de papel e colá-lo na testa (cabeçalho), e ao mesmo tempo caminhar por um corredor específico que os seguranças não vigiam (path traversal), o sistema automaticamente abre a porta e te dá as chaves da sala, sem pedir identidade.
A Explicação Técnica: O ataque combina uma falha de “path traversal” (que permite ao atacante navegar por diretórios do sistema que deveriam ser restritos) com o uso indevido de um cabeçalho HTTP específico chamado CGIINFO.
Ao manipular esse cabeçalho, o invasor engana o FortiWeb, fazendo-o acreditar que a requisição vem de uma fonte confiável interna. O golpe final acontece no corpo da mensagem enviada ao servidor: o atacante envia um objeto JSON (um formato de texto usado para troca de dados) com campos específicos preenchidos com valores-chave:
"username": "admin""vdom": "root"
Quando o FortiWeb lê esses campos combinados com a manipulação do cabeçalho, ele falha em verificar a autenticação e processa o comando como se tivesse sido enviado pelo administrador legítimo do sistema (“root”). O resultado é a criação instantânea de uma nova conta admin controlada pelo hacker.
Quem Está em Risco?
A vulnerabilidade afeta as seguintes versões do FortiWeb:
- FortiWeb 7.0.0 até 7.0.x
- FortiWeb 7.2.0 até 7.2.x
- FortiWeb 7.4.0 até 7.4.x
- FortiWeb 8.0.0 até 8.0.1
Se a sua empresa utiliza alguma dessas versões, o dispositivo está vulnerável.
O Que Fazer Agora? (Guia de Mitigação)
A Equipe Rarduér recomenda as seguintes ações imediatas para gestores de TI e segurança:
- Atualize Imediatamente: A única correção definitiva é atualizar o FortiWeb para a versão 8.0.2 ou superior. Verifique o portal de suporte da Fortinet (FortiGuard Labs) para baixar o patch.
- Isole a Interface de Gerenciamento: Se a atualização não for possível agora (por janelas de manutenção, por exemplo), certifique-se de que a interface administrativa do FortiWeb não esteja exposta à internet pública. O acesso deve ser restrito a uma rede interna segura ou via VPN.
- Bloqueio de Portas: Limite o tráfego HTTP/S direcionado à interface de gerenciamento apenas para IPs de confiança (admins).
- Auditoria de Contas: Verifique imediatamente a lista de usuários administradores no seu FortiWeb. Se encontrar qualquer usuário desconhecido ou criado recentemente sem autorização, assuma que o dispositivo foi comprometido.
Análise Rarduér: A “Maldição” dos Dispositivos de Borda
Este incidente reforça uma tendência preocupante em 2024 e 2025: os dispositivos de borda (Firewalls, VPNs, Gateways) tornaram-se o alvo número 1 dos cibercriminosos. Como esses equipamentos ficam na fronteira entre a internet e a rede interna, uma falha neles elimina a necessidade de phishing ou engenharia social.
A falha no FortiWeb é crítica porque elimina a barreira da autenticação. Em um cenário onde o ransomware continua a destruir empresas (como vimos recentemente com a Unimed e KPN Logistics), deixar uma porta dessa aberta é um risco inaceitável. A velocidade de correção agora definirá quem será a próxima vítima e quem estará seguro.
Por Diogo Neves, Redator Especializado em Tecnologia – Rarduér
