Dezenas de appliances Fortinet FortiWeb foram comprometidos em uma campanha global de ataques que explora uma vulnerabilidade crítica recentemente divulgada, foram detectadas 77 instâncias afetadas até 15 de julho. A falha, identificada como CVE-2025-25257, é uma vulnerabilidade de injeção SQL (SQLi) pré-autenticada com pontuação CVSS de 9,6/10. Ela permite que invasores não autenticados executem comandos ou códigos remotamente por meio de requisições HTTP manipuladas.
O problema está no FortiWeb Fabric Connector, componente que integra o WAF a outros produtos. Fortinet publicou o alerta em 8 de julho e liberou atualizações para corrigir a falha. No entanto, apenas três dias depois, em 11 de julho, foram divulgados exploits de prova de conceito (PoC), isso abriu caminho para que cibercriminosos iniciassem ataques em larga escala no mesmo dia.
Além das 77 instâncias já comprometidas, outras 223 interfaces de gerenciamento FortiWeb permanecem expostas na internet, com alto risco de invasão se não forem atualizadas. Os Estados Unidos lideram o número de dispositivos hackeados (40), seguidos por Holanda, Singapura e Reino Unido. A Fortinet orienta seus clientes a atualizarem imediatamente para as versões corrigidas (7.6.4, 7.4.8, 7.2.11 e 7.0.11). Para quem não pode aplicar o patch de imediato, a recomendação é desabilitar a interface administrativa HTTP/HTTPS como medida temporária para mitigar o risco.
Fonte: Boletinsec
