Vulnerabilidade crítica expõe o Fortinet FortiWeb a uma aquisição total (CVE-2025-25257)

O WatchTowr Labs revela o CVE-2025-25257, uma injeção crítica de SQL no FortiWeb que permite a execução remota de código não autenticado. Aplique patches em seus dispositivos FortiWeb 7.0, 7.2, 7.4 e 7.6 imediatamente para evitar o comprometimento total do sistema. Atualize AGORA!

Pesquisadores de segurança cibernética descobriram uma grande fraqueza, CVE-2025-25257 , em uma parte essencial do software de segurança da Fortinet: o FortiWeb Fabric Connector , vital para vincular o firewall de aplicativo web da Fortinet (FortiWeb) com outras ferramentas de segurança, permitindo proteções dinâmicas.

A vulnerabilidade foi inicialmente relatada à Fortinet por Kentaro Kawane, da GMO Cybersecurity by Ierae. A demonstração subsequente de escalonamento da vulnerabilidade para controle total do sistema foi realizada e publicada pelo watchTowr Labs, e as descobertas foram compartilhadas exclusivamente com o Hackread.com.

Esta é uma falha de “injeção de SQL não autenticada na GUI”, o que significa que os invasores podem explorar uma fraqueza na interface administrativa do sistema sem precisar de um nome de usuário ou senha, enganando o sistema FortiWeb para executar seus próprios comandos prejudiciais enviando solicitações especialmente projetadas pela Internet.

O WatchTowr Labs descobriu esse problema oculto comparando a versão 7.6.4 do FortiWeb com uma versão mais antiga, a 7.6.3. Eles identificaram a vulnerabilidade na função get_fabric_user_by_token dentro do programa /bin/httpsd . Essa função, destinada a logins de outros dispositivos Fortinet, como firewalls FortiGate, não verificava corretamente as informações recebidas, permitindo a injeção de comandos maliciosos usando o cabeçalho Authorisation: Bearer em solicitações para /api/fabric/device/status .

As tentativas iniciais foram complicadas devido a limitações como a proibição de espaços em comandos. No entanto, os pesquisadores contornaram isso habilmente usando a sintaxe de comentários do MySQL (/**/) . Isso tornou a injeção de SQL bem-sucedida, permitindo até mesmo ignorar completamente a verificação de login com um simples comando 'or'1'='1 , que retornou uma mensagem "200 OK" confirmando o sucesso.

Os pesquisadores conseguiram escalar essa injeção inicial de SQL para a Execução Remota de Código (RCE). Conseguiram isso usando a instrução INTO OUTFILE do MySQL para gravar arquivos diretamente no diretório do sistema. Uma descoberta crucial foi que o processo do banco de dados era executado com privilégios de root, permitindo que ele colocasse arquivos nocivos em praticamente qualquer lugar.

Embora a execução direta não fosse possível, eles utilizaram um script Python existente na pasta /cgi-bin , que era executado automaticamente com privilégios altos. Ao gravar um arquivo Python especial (.pth) em um diretório Python específico, eles conseguiram forçar o sistema a executar seu próprio código Python, demonstrando um comprometimento completo do sistema.

Se explorado, um invasor pode obter controle total do seu dispositivo FortiWeb e, potencialmente, de outros sistemas conectados. Isso pode levar ao roubo de dados confidenciais, à interrupção do serviço ou ao uso dos seus sistemas para novos ataques, resultando em danos financeiros, de reputação e jurídicos significativos.

Para se manter protegido, atualize imediatamente seu sistema FortiWeb para a versão corrigida . Se uma atualização imediata não for possível, a Fortinet sugere desabilitar temporariamente a interface administrativa HTTP/HTTPS como solução alternativa.

Aqui estão os detalhes das versões impactadas do FortiWeb:

• 7.6.0 a 7.6.3 (atualização para 7.6.4 ou mais recente)

• 7.4.0 a 7.4.7 (atualização para 7.4.8 ou mais recente)

• 7.2.0 a 7.2.10 (atualização para 7.2.11 ou mais recente)

• 7.0.0 a 7.0.10 (atualização para 7.0.11 ou mais recente)