CVE-2025-25257: FortiWeb의 치명적 SQL 인젝션 취약점으로 인증 없이 원격 코드 실행 가능

최근 **Windows SPNEGO Extended Negotiation**에서 발생한 치명적인 힙 기반 버퍼 오버플로우 취약점 CVE-2025-47981 공개에 이어, 보안 팀은 이번에는 Fortinet의 웹 애플리케이션 방화벽 **FortiWeb**에서 발생한 또 하나의 심각한 취약점에 직면했습니다. **CVE-2025-25257**로 지정되었으며, CVSS 점수는 9.6입니다. 이 취약점은 **인증 없이 발생하는 SQL 인젝션**으로, 정교하게 제작된 HTTP/HTTPS 요청을 통해 공격자가 임의의 SQL 명령을 실행할 수 있습니다.

취약점 악용은 공격자가 타깃 네트워크에 초반 접근 권한을 획득하는 주요 수단입니다. 2025년 이같은 활동은 전년 대비 34% 증가했으며, 이는 보안 침해가 크게 늘어나는 데 기여했습니다. **CVE-2025-25257**에 대한 PoC(개념 증명) 코드가 이미 공개된 상황에서, 조기 탐지는 더욱 중요해졌습니다. 보안 팀은 신속하게 대응하기 위해 커스텀 검출 콘텐츠와 적절한 보안 도구가 요구됩니다.

SOC Prime 플랫폼에 등록하시면, 실시간 위협 인텔리전스와 AI 기반 Detection Engineering, 자동화된 위협 헌팅 및 고급 탐지를 지원하는 완전한 제품 군에 연결되는 글로벌 활성 위협 피드를 이용하실 수 있습니다. 모든 규칙은 여러 SIEM, EDR, Data Lake 포맷과 **MITRE ATT&CK®**에 매핑되어 있으며, CTI 링크, 공격 타임라인, 감사 설정, 트리아지 권장 사항 등 풍부한 컨텍스트를 포함합니다. **탐지 보기** 버튼을 클릭하여 “CVE” 태그로 필터링된 중요한 취약점 대응 전체 Detection 스택을 확인하세요.

탐지 보기

보안 엔지니어는 또한 Uncoder AI를 활용할 수 있습니다—비대리(static agent)형 AI로 설계된 **Threat-Informed Detection Engineering** 전용 도구입니다. Uncoder를 활용하면, IOC를 자동으로 헌팅 쿼리로 변환하고, 원시 리포트에서 탐지 규칙을 생성하며, ATT&CK 태그 예측, AI 기반 쿼리 최적화, 멀티 플랫폼 탐지 콘텐츠 변환이 가능합니다.

CVE‑2025‑25257 분석

Fortinet의 공식 권고문에 따르면, 이 취약점은 SQL 문장 내 **특수 문자 적절히 중화되지 않음**에서 기인합니다. 인증되지 않은 공격자는 세심하게 조작된 HTTP/HTTPS 요청을 통해 비인가 SQL 명령을 실행할 수 있습니다. **watchTowr Labs**의 분석에 따르면, 취약 원인은 `get_fabric_user_by_token` 함수로 확인되었으며, 이는 FortiWeb과 Fortinet 제품 간을 연결하는 Fabric Connector 구성 요소의 일부입니다.

이 취약점은 공격자가 제어하는 입력값이 **적절한 검증이나 이스케이프 없이 SQL 쿼리에 직접 삽입**됨으로써 발생합니다. 이로 인해 악성 SQL 코드 주입 및 실행이 가능해지고, 공격자는 `SELECT … INTO OUTFILE` 구문을 활용하여 파일 시스템에 악성 페이로드를 생성할 수 있습니다. SQL 쿼리는 `mysql` 사용자 권한으로 실행되기 때문에, 공격자는 OS에 파일을 쓰고 이를 Python 등으로 실행할 수 있습니다.

Fortinet에 따르면, CVE‑2025‑25257의 영향을 받는 FortiWeb 버전은 다음과 같습니다: 7.6.0~7.6.3 → **7.6.4 이상**으로 업데이트 권장 7.4.0~7.4.7 → **7.4.8 이상** 7.2.0~7.2.10 → **7.2.11 이상** 7.0.0~7.0.10 → **7.0.11 이상**

임시 대응책으로, Fortinet은 해당 패치가 적용될 때까지 **HTTP/HTTPS 관리 인터페이스 비활성화**를 권고합니다.

급증하는 공격 표면을 선제적으로 관리하려면, 조직은 SOC Prime 플랫폼을 활용할 수 있습니다. 이 플랫폼은 전 세계 최대 규모의 탐지 규칙 마켓플레이스, Threat Hunting 및 Detection Engineering 자동화, AI 네이티브 위협 인텔리전스 등 다양한 기능을 제공합니다. 또한 SOC Prime의 전체 제품 스위트를 통해 보안 팀은 취약점 악용 및 기타 잠재적 위협으로부터 **예측적이고 효과적인 위험 최소화**를 달성할 수 있습니다.