Компания Fortinet столкнулась с активной эксплуатацией критической уязвимости CVE-2025-64446 в межсетевых экранах веб-приложений FortiWeb. Уязвимость типа path traversal позволяет неавторизованному злоумышленнику выполнять административные команды на устройствах. Данный дефект был внесен в каталог известных эксплуатируемых уязвимостей CISA KEV 13 ноября 2025 года, а уже через 72 часа началась активная фаза атак.
Описание
Глобальная сеть honeypot-сенсоров GreyNoise зафиксировала целенаправленные запросы к различным версиям FortiWeb от 7.0 до 8.0. Эксперты отмечают классический сценарий развития событий: после публикации информации о патче координированная группа сканеров незамедлительно начала оружиевание уязвимости. Первые следы эксплуатации появились 17 ноября 2025 года, что демонстрирует чрезвычайно быстрый цикл создания эксплойтов, характерный для высокорисковых уязвимостей периферийных устройств.
Технический анализ демонстрирует, что уязвимость заключается в обработке специально сформированных строк обхода пути в API управления FortiWeb. Злоумышленники используют конструкции вроде /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi для доступа к внутреннему endpoint cgi-bin. При успешной атаке злоумышленник получает возможность выполнения привилегированных операций, что создает серьезную угрозу безопасности.
Сетевые данные показывают систематический характер атак. Сенсоры зафиксировали восемь уникальных IP-адресов, использующих не менее шести различных отпечатков JA4T и двух отпечатков JA4H. Анализ TCP-стеков указывает на современные Linux-системы, при этом варианты размеров окон и MTU демонстрируют разнообразие. Особый интерес представляет единообразие TLS-рукопожатий с доминирующим отпечатком JA3 9b72665518dedb3531426284fdec8237, характерным для Python requests, libcurl и Firefox-библиотек.
Инфраструктура атакующих распределена между семью хостинг-провайдерами: Flyservers, Clouvider, DigitalOcean, Kaopu Cloud, WorkTitans, InterHost и HOSTKEY. Отсутствие резидентных IP-адресов, мобильных сетей и коммерческих VPN-сервисов указывает на профессиональных операторов, стремящихся к обеспечению устойчивости и отрицания причастности. Такой подход отличается от типичных любительских бот-сетей.
Анализ строк User-Agent дополнительно раскрывает инструментарий злоумышленников. Некоторые узлы используют сотни синтетически сгенерированных браузерных сигнатур, тогда как другие открыто идентифицируют себя как python-requests/2.25.1 или node.js. Отдельные экземпляры демонстрируют пробные запросы в стиле Log4Shell, что свидетельствует о многоцелевом сканировании помимо атак на FortiWeb.
Эксперты по кибербезопасности подчеркивают необходимость немедленного применения доступных патчей. Особую озабоченность вызывает возможность достижения устойчивости в системе после первоначального взлома. Организации, использующие уязвимые версии FortiWeb, должны провести тщательную проверку журналов на предмет подозрительной активности. Рекомендуется обратить особое внимание на нестандартные запросы к API управления и неавторизованные попытки доступа к ендпоинту cgi-bin .
Быстрая эксплуатация уязвимости подчеркивает важность своевременного обновления систем безопасности. Специалисты отмечают, что уязвимости в периферийных устройствах часто становятся первоначальным вектором атак для последующего перемещения по сети. Регулярный мониторинг угроз и оперативное применение исправлений остаются критически важными практиками для предотвращения серьезных инцидентов безопасности.
Индикаторы компрометации
IPv4
- 104.131.19.237
- 141.98.82.26
- 147.135.11.223
