هشدار CISA درباره آسیب‌پذیری تزریق SQL در FortiWeb که به‌صورت فعال مورد سوءاستفاده قرار گرفته است

آژانس امنیت سایبری و زیرساخت‌های ایالات متحده (CISA) یک آسیب‌پذیری بحرانی در فایروال Fortinet FortiWeb را به فهرست آسیب‌پذیری‌های شناخته‌شده و مورد سوءاستفاده (KEV) خود افزوده و تأیید کرده که این نقص امنیتی تزریق SQL در حملات سایبری در سراسر جهان به‌صورت فعال مورد بهره‌برداری قرار گرفته است.

این آسیب‌پذیری با شناسه CVE-2025-25257 ثبت شده و مربوط به فایروال FortiWeb بوده که نمره شدت CVSS بسیار بالا یعنی ۹.۶ از ۱۰ را داراست.

علت این آسیب‌پذیری، خنثی‌سازی نامناسب کاراکترهای خاص در دستورات SQL است که به مهاجمان غیرمجاز اجازه می‌دهد با ارسال درخواست‌های HTTP یا HTTPS دست‌کاری‌شده، کد یا دستورات SQL غیرمجاز را اجرا کنند.

Fortinet در گزارش امنیتی خود نوشت:

«یک آسیب‌پذیری تزریق SQL [CWE-89] ناشی از خنثی‌سازی نامناسب عناصر خاص در دستورات SQL در FortiWeb ممکن است به مهاجم غیرمجاز امکان اجرای کد یا دستورات SQL غیرمجاز را از طریق درخواست‌های HTTP یا HTTPS دست‌کاری‌شده بدهد.»

این آسیب‌پذیری در مؤلفه Fabric Connector فایروال FortiWeb قرار دارد، که به‌عنوان پل ارتباطی بین فایروال و سایر محصولات امنیتی Fortinet عمل می‌کند.

محققان امنیتی کشف کرده‌اند که مهاجمان می‌توانند با ارسال درخواست‌های مخرب به مسیر /api/fabric/device/status با هدرهای Authorization خاص، این نقص را سوءاستفاده کنند.

کمپین بهره‌برداری فعال

بنیاد امنیتی Shadowserver گزارش داده که بهره‌برداری گسترده‌ای از این آسیب‌پذیری در جریان است و تا تاریخ ۱۵ ژوئیه ۲۰۲۵، ۷۷ نمونه از FortiWeb به‌صورت موفقیت‌آمیز آلوده شده‌اند؛ این تعداد نسبت به روز قبل (۸۵ سیستم آلوده) کاهش اندکی داشته است.

شروع این کمپین از تاریخ ۱۱ ژوئیه ۲۰۲۵ هم‌زمان با انتشار عمومی کد اثبات مفهومی (PoC) توسط محققان watchTowr Labs بود که نشان می‌دهد مهاجمان چگونه به‌سرعت از ابزارهای عمومی سوءاستفاده می‌کنند.

«در تاریخ ۱۵ ژوئیه ۲۰۲۵، ۷۷ مورد بهره‌برداری شناسایی شده است که نسبت به ۸۵ مورد در روز قبل کاهش داشته. فعالیت بهره‌برداری از CVE-2025-25257 از ۱۱ جولای آغاز شده است.» – بنیاد Shadowserver

در این حملات، مهاجمان اقدام به نصب webshell بر روی سیستم‌های قربانی می‌کنند تا دسترسی دائمی (backdoor) به سیستم‌ها داشته باشند. ایالات متحده با ۴۰ دستگاه آلوده‌شده در صدر قرار دارد و پس از آن کشورهای هلند، سنگاپور و بریتانیا هستند.

نسخه‌های آسیب‌پذیر و راه‌حل‌ها:

Fortinet در تاریخ ۸ ژوئیه ۲۰۲۵ وصله امنیتی مربوط به این آسیب‌پذیری را منتشر کرد و در تاریخ ۱۸ ژوئیه تأیید نمود که این نقص به‌صورت فعال در حملات مورد سوءاستفاده قرار گرفته است.

CISA به‌شدت از تمامی سازمان‌ها خواسته است که وصله‌ امنیتی این آسیب‌پذیری را در اولویت قرار دهند و تأکید کرده که «این نوع آسیب‌پذیری‌ها یکی از مسیرهای رایج برای مهاجمان سایبری هستند و ریسک‌های قابل‌توجهی برای زیرساخت‌های فدرال ایجاد می‌کنند.»

برای سازمان‌هایی که امکان به‌روزرسانی فوری ندارند، Fortinet به‌عنوان راه‌حل موقتی پیشنهاد داده که رابط مدیریتی HTTP/HTTPS را غیرفعال کنند. همچنین ۲۲۳ رابط مدیریتی FortiWeb همچنان به‌صورت آنلاین در دسترس هستند و می‌توانند اهداف بعدی مهاجمان باشند.

این آسیب‌پذیری توسط Kentaro Kawane از شرکت GMO Cybersecurity by Ierae به‌صورت مسئولانه گزارش شده است. متخصصان امنیتی تأکید دارند که نصب سریع وصله‌های امنیتی به‌ویژه برای تجهیزاتی که به‌صورت مستقیم در برابر اینترنت قرار دارند، از اهمیت حیاتی برخوردار است؛ چرا که این ابزارها اولین خط دفاعی در برابر تهدیدات سایبری محسوب می‌شوند.