Relatos de empresas de segurança indicam exploração ativa por semanas de uma falha crítica no FortiWeb; Fortinet liberou correções e a CISA incluiu o bug no catálogo KEV.
Descoberta e escopo
SecurityWeek reporta que uma vulnerabilidade classificada como crítica no FortiWeb foi alvo de exploração ativa por semanas. A categoria do item RSS menciona o identificador CVE-2025-64446. Segundo a matéria, Fortinet distribuiu correções e a CISA adicionou a falha ao seu Known Exploited Vulnerabilities (KEV) catalog.
O que mudou agora
O destaque da reportagem é que, apesar das atualizações disponibilizadas pelo fabricante, a falha vinha sendo explorada em ambiente real. A inclusão no catálogo KEV da CISA e as notas de empresas de segurança indicam que o problema é tratado como risco imediato para instâncias de FortiWeb que não tenham aplicado as correções.
Abordagem técnica e mitigação
A matéria relata que Fortinet "quietly shipped fixes" (liberou correções). Não há, no trecho disponível no RSS, detalhamento técnico público sobre vetor de exploração, código PoC (proof-of-concept) ou se a exploração exige autenticação prévia. As fontes não detalham os vetores ou requisitos de exploração; por isso, recomenda-se seguir as ações oficiais do fabricante.
Impacto e alcance
SecurityWeek e as referências na matéria apontam exploração ativa e a inclusão do CVE-2025-64446 no catálogo KEV da CISA — critérios que normalmente indicam ocorrência em campo e risco elevado. A reportagem não quantifica o número de sistemas afetados nem lista vítimas específicas. A gravidade é reforçada pelo fato de fabricantes e agências de segurança terem reagido com patches e listagem no KEV.
Limites das informações
O conteúdo do RSS não traz detalhes técnicos aprofundados, métricas de impacto (como contagem de dispositivos afetados) ou indicadores de compromisso (IOCs). Também não há, no trecho disponível, análise de atribuição ou de campanha. As fontes citadas pela matéria não são transcritas integralmente no RSS, e as declarações específicas do fabricante (release notes, CVSS score) não aparecem no snippet.
Recomendações práticas
- Aplicar as correções liberadas pelo fabricante o quanto antes, conforme indicação da própria Fortinet.
- Verificar inventário de FortiWeb em operação e priorizar patching em perímetros expostos à Internet.
- Monitorar alertas e indicadores publicados por Fortinet e por órgãos de segurança (incluindo a CISA, que adicionou o CVE ao KEV).
Próximos passos
Para equipes de segurança, a prioridade é confirmar a presença de FortiWeb afetado, aplicar atualizações e acompanhar comunicados oficiais do fabricante para detalhes técnicos e mitigação adicional. O texto de SecurityWeek indica exploração ativa e ações coordenadas de resposta (patch e KEV), mas não substitui a leitura das advisories oficiais de Fortinet para medidas técnicas completas.
As informações citadas aqui baseiam-se no relatório do SecurityWeek; onde não há detalhes técnicos ou métricas, foi indicada a ausência dessas informações.