Fortinet je u petak upozorio na eksploatisanu ranjivost u FortiWeb-u koja omogućava daljinskim, neautentifikovanim napadačima da steknu administratorski pristup ovim web application firewall uređajima.
Kao CVE-2025-64446 (CVSS 9.1), greška je opisana kao relativni path traversal koji se može iskoristiti putem posebno kreiranih HTTP ili HTTPS zahtjeva kako bi se na sistemu izvršile administratorske komande.
„Fortinet je primijetio da se ranjivost aktivno eksploatiše“, navodi se u bezbjednosnom savjetu kompanije, bez dodatnih detalja o napadima.
Greška utiče na FortiWeb verzije 8.0.0 do 8.0.1, 7.6.0 do 7.6.4, 7.4.0 do 7.4.9, 7.2.0 do 7.2.11 i 7.0.0 do 7.0.11. Ranjivost je ispravljena u verzijama 8.0.2, 7.6.5, 7.4.10, 7.2.12 i 7.0.12.
U petak je američka sajber agencija CISA dodala CVE-2025-64446 na listu Known Exploited Vulnerabilities (KEV), pozivajući federalne agencije da je adresiraju u roku od nedjelju dana.
Prema Binding Operational Directive (BOD) 22-01, federalne agencije dužne su da riješe ranjivosti dodate na KEV listu u roku od tri nedjelje. Kraći rok za ovu ranjivost naglašava njen značaj.
Upozorenja Fortineta i CISA-e, međutim, stižu pomalo kasno. U četvrtak su brojne bezbjednosne firme upozorile na eksploataciju ranjivosti u FortiWeb verziji 8.0.1 i starijim uređajima.
WatchTowr je istakao da su napadi neselektivno ciljali FortiWeb uređaje širom svijeta, dok su PwnDefend i Rapid7 povezali napade sa eksploatom koji je Defused uočio 6. oktobra. Defused je objavio proof-of-concept (PoC) kod zasnovan na tom eksploatu.
Oba tima, PwnDefend i Rapid7, navela su da eksploatacija omogućava napadačima kreiranje administratorskih naloga na ranjivim uređajima. Rapid7 je 6. novembra primijetio da je jedan haker na dark web forumu nudio navodni zero-day za FortiWeb, ali nije mogao da ga poveže sa već eksploatisanom ranjivošću.
Prema tehničkom opisu watchTowr-a, CVE-2025-64446 obuhvata dvije ranjivosti: path traversal i zaobilaženje autentifikacije. Kreiranjem admin naloga, napadači mogu u potpunosti kompromitovati ciljane uređaje.
Iako ranjivost nije pomenuta u release notes za FortiWeb 8.0.2, Fortinet ju je vjerovatno tiho zakrpio nakon što je u oktobru saznao za eksploataciju, navodi WatchTowr.
„Svjesni smo ove ranjivosti i aktivirali smo naš PSIRT odgovor i proces remediacije čim smo saznali za slučaj, i ti napori su i dalje u toku“, rekao je portparol Fortineta.
„Direktno komuniciramo sa pogođenim korisnicima i savjetujemo sve potrebne preporučene korake. Pozivamo naše korisnike da pogledaju savjet i prate instrukcije navedene u FG-IR-25-910“, dodao je portparol.
U savjetu, Fortinet preporučuje korisnicima da onemoguće HTTP/HTTPS za internet-dostupne interfejse dok ne nadograde FortiWeb na zakrpljenu verziju.
Nakon nadogradnje, korisnici bi trebalo da pregledaju konfiguracije i logove zbog neočekivanih izmjena, kao što su prisustvo neautorizovanih administratorskih naloga.
Izvor: SecurityWeek