سازمان امنیت سایبری و زیرساختهای آمریکا (CISA) یک نقص جدید در Fortinet FortiWeb را به فهرست «آسیبپذیریهای شناختهشده مورد سوءاستفاده» (KEV) اضافه کرد. این آسیبپذیری با شناسه CVE-2025-64446 و امتیاز CVSS برابر ۹.۱ ردیابی میشود.
این نقص یک ضعف Relative Path Traversal در نسخههای زیر است:
FortiWeb 8.0.0 تا ۸.۰.۱
FortiWeb 7.6.0 تا ۷.۶.۴
FortiWeb 7.4.0 تا ۷.۴.۹
FortiWeb 7.2.0 تا ۷.۲.۱۱
FortiWeb 7.0.0 تا ۷.۰.۱۱
مهاجم میتواند با ارسال درخواستهای HTTP یا HTTPS ساختگی، بدون نیاز به احراز هویت، روی دستگاههای آسیبپذیر دستورهای مدیریتی اجرا کند.
در اعلامیه آمده است:
«یک آسیبپذیری relative path traversal [CWE-23] در FortiWeb ممکن است به مهاجمِ بدون احراز هویت اجازه دهد از طریق درخواستهای HTTP یا HTTPS ساختگی، فرمانهای مدیریتی روی سیستم اجرا کند. فورتینت مشاهده کرده که از این آسیبپذیری در دنیای واقعی سوءاستفاده شده است.»
فورتینت توصیه کرده برای اینترفیسهایی که به اینترنت متصلاند، دسترسی HTTP/HTTPS غیرفعال شود تا زمان ارتقاء نسخه. اگر دسترسی مدیریتی فقط از شبکه داخلی انجام شود، ریسک بسیار کمتر است.
براساس دستورالعمل عملیاتی BOD 22-01، سازمانهای فدرال آمریکا باید آسیبپذیریهای موجود در فهرست KEV را تا تاریخ تعیین شده رفع کنند تا از حملات جلوگیری شود.
کارشناسان همچنین به سازمانهای خصوصی توصیه میکنند فهرست KEV را بررسی کرده و مشکلات موجود در زیرساخت خود را برطرف کنند.
CISA به سازمانهای فدرال دستور داده این آسیبپذیریها را تا ۲۱ نوامبر ۲۰۲۵ رفع کنند.
همین هفته، پژوهشگران از وجود یک نقص دور زدن احراز هویت در FortiWeb WAF خبر دادند که به مهاجم امکان تصاحب کامل دستگاه را میدهد. این نقص با انتشار نسخه ۸.۰.۲ برطرف شد.
این آسیبپذیری به هر کسی اجازه میدهد وارد دستگاههای FortiWeb شود و کنترل کامل مدیریتی به دست آورد. این مشکل زمانی عمومی شد که گروه Defused یک PoC را در ۶ اکتبر ۲۰۲۵ منتشر کرد، پس از آنکه حملات واقعی در هانیپات آنها دیده شد.
watchTowr Labs این اکسپلویت را تأیید و ویدئوی PoC را در X منتشر کرد. این گروه همچنین ابزاری با نام «FortiWeb Authentication Bypass Artifact Generator» ارائه داد که تلاش میکند یک حساب کاربری ادمین با نام تصادفی ۸ کاراکتری ایجاد کند.
براساس گزارش Defused و پژوهشگر Daniel Card، مهاجمان با ارسال یک درخواست HTTP POST به مسیر زیر تلاش به ساخت حساب مدیر میکنند:
/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi
درون این درخواست، payload ساخت حساب مدیر قرار داده شده است.
Card توضیح داده است:
«این موضوع اکنون عمومی است و روی اینترنت در حال سوءاستفاده میباشد. همیشه درباره اینکه چه مقدار جزییات برای کمک به شناسایی منتشر شود باید دقت کرد. بنابراین من جزییات کامل را منتشر نمیکنم، اما به اندازهای میگویم که به ساخت Logic تشخیص کمک کند.»
او payloadهایی را استخراج کرده که شامل این نامهای کاربری و رمزها بودهاند:
| Username | Password |
|---|---|
| Testpoint | AFodIUU3Sszp5 |
| trader1 | 3eMIXX43 |
| trader | 3eMIXX43 |
| test1234point | AFT3$tH4ck |
| Testpoint | AFT3$tH4ck |
| Testpoint | AFT3$tH4ckmet0d4yaga!n |
یک نظر