# FortiWeb > waf · Vendor: [[_fortinet|Fortinet]] ## Visão Geral **FortiWeb** é a solução de Web Application Firewall (WAF) da Fortinet, projetada para proteger aplicações web e APIs contra ataques como injeção SQL, cross-site scripting (XSS), exploração de vulnerabilidades OWASP Top 10 e ataques de bot automatizado. Disponível como appliance físico, VM e serviço em nuvem (FortiWeb Cloud), é amplamente adotado por organizações que expõem serviços web críticos - especialmente no setor [[financial]] e [[government]]. Do ponto de vista de CTI, o FortiWeb compartilha a superfície de ataque do [[fortios|FortiOS]] - a [[cve-2024-23113|CVE-2024-23113]] afeta versões do FortiWeb que rodam componentes do daemon fgfmd. Ironicamente, um WAF projetado para proteger aplicações web pode se tornar um vetor de comprometimento caso não sejá mantido atualizado. Essa contradição é explorada por atores como [[g1017-volt-typhoon|Volt Typhoon]] que mapeiam ativamente dispositivos Fortinet expostos à internet usando scanners como Shodan e Censys. A relevância do FortiWeb para o mercado brasileiro é crescente com a expansão da LGPD (Lei Geral de Proteção de Dados) e o aumento de regulações de segurança para serviços digitais no setor financeiro (Resolução CMN 4.893). Organizações que utilizam FortiWeb como única camada de proteção de aplicações web devem considerar a severidade de vulnerabilidades que afetam o próprio appliance. ## Vulnerabilidades Conhecidas <!-- Tabela estática para Obsidian Publish --> | CVE | CVSS | Tipo | Exploração | Patch Disponível | Data | |-----|------|------|------------|-----------------|------| | [[cve-2024-23113\|CVE-2024-23113]] | 9.8 | Format string no daemon fgfmd - RCE sem autenticação | Ativa - CISA KEV confirmado | Sim | 2024-02-08 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Tipo de Exploração", cisa-kev AS "CISA KEV", patch-available AS "Patch" FROM "vulnerabilities" WHERE contains(product, "FortiWeb") SORT cvss-score DESC ``` %% ## Uso por Atores de Ameaça O FortiWeb é alvo secundário em campanhas que visam a infraestrutura Fortinet de forma ampla: - **[[g1017-volt-typhoon|Volt Typhoon]]** - Realiza reconhecimento de dispositivos Fortinet expostos, incluindo instâncias FortiWeb, como parte de mapeamento de infraestrutura crítica. A exploração da [[cve-2024-23113|CVE-2024-23113]] permite acesso ao appliance independente de sua função primária como WAF. - **[[g0016-apt29|APT29]]** - Tem histórico de exploração de appliances de borda em ambientes governamentais e de defesa. O FortiWeb implantado em portais de serviços digitais governamentais representa um alvo de interesse para acesso inicial. Um FortiWeb comprometido é particularmente perigoso pois posiciona o atacante entre os usuários legítimos e as aplicações protegidas, permitindo interceptação de sessões, roubo de credenciais e manipulação de respostas HTTP. > [!latam] Relevância para Brasil e LATAM > O FortiWeb é adotado por organizações brasileiras que expõem serviços digitais críticos - especialmente no setor financeiro (portais de internet banking) e governo (portais de serviços públicos). Sob pressão da LGPD e da Resolução BACEN 4.893, WAFs tornaram-se componentes obrigatórios em infraestruturas de aplicações financeiras reguladas no Brasil. ## Notas Relacionadas **Produto:** [[_fortinet|Fortinet]] · [[fortios|FortiOS]] · [[fortigaté|FortiGaté]] · [[fortiproxy|FortiProxy]] **CVEs:** [[cve-2024-23113|CVE-2024-23113]] **Atores:** [[g1017-volt-typhoon|Volt Typhoon]] · [[g0016-apt29|APT29]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] · [[t1133-external-remote-services|T1133 - External Remote Services]]