Pesquisadores identificaram uma campanha ativa que compromete appliances FortiWeb desatualizados para instalar o framework de comando e controle Sliver, garantindo persistência em dispositivos de borda e possibilidades de monitoramento de tráfego.
Descoberta e escopo
Analistas da Ctrl-Alt-Int3l, reportados por Cyber Security News, descobriram infraestrutura exposta associada ao Sliver C2 e registros que indicam uma série de dispositivos FortiWeb comprometidos. A investigação aponta que a maioria das unidades afetadas está rodando firmware antigo — especificamente versões entre 5.4.202 e 6.1.62, segundo o relatório disponibilizado na origem.
Vetor e técnica usada
O post não confirma um CVE específico responsável pela intrusão em todos os casos, mas registra que o ator também tem aproveitado a falha conhecida React2Shell (CVE-2025-55182) em operações paralelas. Após o acesso inicial, os invasores implantam ferramentas como o Fast Reverse Proxy (FRP) para expor serviços internos, criando um canal direto entre a rede vítima e servidores de controle externos.
Como o C2 foi observado
Durante caça a diretórios abertos no Censys, os pesquisadores localizaram bancos de dados e logs do Sliver C2 acessíveis publicamente, o que revelou comandos usados para gerar beacons e os domínios de comunicações. A infraestrutura utilizava domínios de isca com temas locais para confundir analistas — exemplos citados incluem variações que simulavam repositórios "Ubuntu Packages" e até páginas com o tema "Bangladesh Airforce".
Persistência e impacto operacional
Os atacantes conseguem instalar backdoors que se disfarçam como utilitários de atualização do sistema (o relatório cita implantação em caminhos como /bin/.root/system-updater), o que facilita a sobrevivência mesmo após reinícios e tentativas iniciais de remediação. Em appliances de segurança, essa persistência é particularmente crítica: um WAF/firewall comprometido pode permitir monitoramento de tráfego, interceptação de credenciais e execução de comandos com privilégios elevados.
Evidências e limites da investigação
Os indicadores extraídos dos logs expostos foram apresentados pelos pesquisadores, porém a origem não confirma que todos os compromissos usam um mesmo bug universal. O relatório deixa claro que a vulnerabilidade exata usada nas infecções FortiWeb não está confirmada em todos os casos. Em outras palavras: há exploração ativa documentada, mas falta uma atribuição técnica única e uma correlação completa entre cada host e um CVE específico.
Recomendações práticas
- Priorizar a identificação de appliances FortiWeb públicos e verificar versões de firmware; atualizar para releases suportados.
- Isolar appliances de borda em segmentos controlados e limitar acesso de gerenciamento à rede de administração.
- Monitorar conexões de saída incomuns e sinais de tunelamento via FRP ou beacons HTTP com reconexão periódica.
- Executar varredura por artefatos de Sliver (bancos de dados C2, logs expostos) e investigar registros de implantação em caminhos suspeitos.
Repercussão e o que falta
O material disponível descreve uma campanha com exploração ativa e impacto operacional claro, inclusive com persistência em appliances de segurança. O que não foi publicado até o momento é a confirmação oficial de um fornecedor (por exemplo, um aviso técnico da Fortinet) detalhando o vetor exato usado em cada caso e um mapeamento completo de alvos e países afetados. Sem esse comunicado, equipes devem tratar a ameaça como ativa e aplicar mitigação defensiva baseada em versões e exposição de serviços de gerenciamento.
Fonte: Cyber Security News (relato da Ctrl-Alt-Int3l).