- Автор темы
- #1
Представители Fortinet предупреждают о массовой эксплуатации критической 0-day-уязвимости в своем файрволе для веб-приложений FortiWeb. Компания выпустила патч для этой проблемы почти месяц назад, однако официально уязвимость признали только сейчас — после того как исследователи забили тревогу и опубликовали proof-of-concept эксплоиты.
Первые признаки атак на уязвимость нулевого дня зафиксировали специалисты компании Defused 6 октября 2025 года. Тогда исследователи обнаружили, что неизвестные злоумышленники эксплуатируют уязвимость типа path traversal в FortiWeb для создания новых административных учетных записей.
Хакеры отправляли специально сформированные HTTP POST-запросы к эндпоинту /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi, что позволяло им создавать локальные аккаунты с правами администратора. Исследователи предположили, что это может быть вариация старой уязвимости CVE-2022-40684.
28 октября 2025 года, через три недели после обнаружения атак, разработчики Fortinet выпустили FortiWeb 8.0.2 с патчем для этой проблемы. Однако никакой официальной информации о баге компания не опубликовала.
В конце прошлой недели исследователи из компании watchTowr Labs продемонстрировали работающий эксплоит для этой уязвимости и выпустили инструмент FortiWeb Authentication Bypass Artifact Generator, чтобы помочь администраторам обнаружить скомпрометированные устройства.
В свою очередь, аналитики компании Rapid7 подтвердили, что уязвимость затрагивает FortiWeb 8.0.1 и более старые версии, а публично доступные в сети эксплоиты перестают работать после обновления до версии 8.0.2.
Лишь 14 ноября 2025 года представители Fortinet официально раскрыли детали проблемы. Уязвимость получила идентификатор CVE-2025-64446 и классифицирована как path confusion vulnerability в GUI-компоненте FortiWeb.
«Fortinet наблюдает активную эксплуатацию этой уязвимости в реальных атаках», — предупреждается в бюллетене безопасности компании.
По сути, CVE-2025-64446 позволяет неаутентифицированным атакующим выполнять административные команды на уязвимых системах через специально подготовленные HTTP или HTTPS запросы. Иными словами, для атаки не нужно знать пароль — достаточно отправить правильно сформированный запрос.
Сообщается, что уязвимость затрагивает широкий спектр версий FortiWeb:
Первые признаки атак на уязвимость нулевого дня зафиксировали специалисты компании Defused 6 октября 2025 года. Тогда исследователи обнаружили, что неизвестные злоумышленники эксплуатируют уязвимость типа path traversal в FortiWeb для создания новых административных учетных записей.
Хакеры отправляли специально сформированные HTTP POST-запросы к эндпоинту /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi, что позволяло им создавать локальные аккаунты с правами администратора. Исследователи предположили, что это может быть вариация старой уязвимости CVE-2022-40684.
28 октября 2025 года, через три недели после обнаружения атак, разработчики Fortinet выпустили FortiWeb 8.0.2 с патчем для этой проблемы. Однако никакой официальной информации о баге компания не опубликовала.
В конце прошлой недели исследователи из компании watchTowr Labs продемонстрировали работающий эксплоит для этой уязвимости и выпустили инструмент FortiWeb Authentication Bypass Artifact Generator, чтобы помочь администраторам обнаружить скомпрометированные устройства.
В свою очередь, аналитики компании Rapid7 подтвердили, что уязвимость затрагивает FortiWeb 8.0.1 и более старые версии, а публично доступные в сети эксплоиты перестают работать после обновления до версии 8.0.2.
Лишь 14 ноября 2025 года представители Fortinet официально раскрыли детали проблемы. Уязвимость получила идентификатор CVE-2025-64446 и классифицирована как path confusion vulnerability в GUI-компоненте FortiWeb.
«Fortinet наблюдает активную эксплуатацию этой уязвимости в реальных атаках», — предупреждается в бюллетене безопасности компании.
По сути, CVE-2025-64446 позволяет неаутентифицированным атакующим выполнять административные команды на уязвимых системах через специально подготовленные HTTP или HTTPS запросы. Иными словами, для атаки не нужно знать пароль — достаточно отправить правильно сформированный запрос.
Сообщается, что уязвимость затрагивает широкий спектр версий FortiWeb:
- FortiWeb 8.0.0 – 8.0.1 (патч: 8.0.2 или выше);
- FortiWeb 7.6.0 – 7.6.4 (патч: 7.6.5 или выше);
- FortiWeb 7.4.0 – 7.4.9 (патч: 7.4.10 или выше);
- FortiWeb 7.2.0 – 7.2.11 (патч: 7.2.12 или выше);
- FortiWeb 7.0.0 – 7.0.11 (патч: 7.0.12 или выше).
- отключить HTTP и HTTPS на всех интерфейсах управления, доступных из интернета;
- ограничить доступ к административной панели только доверенными сетями;
- проверить конфигурации и логи на наличие несанкционированных учетных записей администраторов;
- искать любые подозрительные изменения в системе.