Киберпреступники успешно атаковали десятки экземпляров Fortinet FortiWeb, используя внедрение веб-шеллов для получения контроля над системами. Атаки стали возможными благодаря эксплуатации критической уязвимости, публичное доказательство концепции (PoC) для которой появилось всего несколько дней назад. Это наглядная демонстрация того, насколько быстро злоумышленники адаптируют свежие уязвимости в реальных атаках, как только информация о них становится общедоступной.
Детали уязвимости и масштаб угрозы
В центре атак оказалась уязвимость CVE-2025-25257 - критическая SQL-инъекция в системах межсетевого экрана веб-приложений FortiWeb компании Fortinet. Уязвимость получила оценку CVSS 9.6 из 10, что указывает на ее исключительную опасность. Проблема позволяет злоумышленникам выполнять произвольный код без аутентификации, отправляя специально сформированные HTTP-запросы к уязвимым системам.
Ошибка кроется в компоненте Fabric Connector, который отвечает за интеграцию FortiWeb с другими продуктами Fortinet. Впервые уязвимость обнаружил исследователь безопасности Кентаро Каване (GMO Cybersecurity), а Fortinet официально объявил о ней 8 июля 2025 года. Однако ситуация резко обострилась 11 июля, когда компания WatchTowr и другие исследователи опубликовали рабочие эксплойты, демонстрирующие, как можно использовать SQL-инъекцию для загрузки веб-шеллов или создания обратных соединений, дающих злоумышленникам долгосрочный контроль над атакованными системами.
Динамика атак и реакция сообщества
Фонд Shadowserver, занимающийся мониторингом угроз, начал отслеживать активность атак с момента появления PoC. Их данные показывают тревожную динамику:
- Подтвержденные компрометации: 77 случаев на 15 июля (по сравнению с 85 за предыдущий день).
- Незащищенные системы: 223 устройства, статус обновлений для которых неизвестен.
- Страны с наибольшим количеством атакованных систем: США (40 устройств), Нидерланды, Сингапур и Великобритания.
Тот факт, что количество активных компрометаций снизилось, указывает на то, что некоторые организации успешно закрыли уязвимость. Однако сотни потенциально незащищенных систем остаются под угрозой.
Рекомендации Fortinet и меры защиты
Компания Fortinet оперативно отреагировала на ситуацию, выпустив исправления и призвав пользователей срочно обновить свои системы до защищенных версий: FortiWeb 7.6.4, 7.4.8, 7.2.11 или 7.0.11.
Для организаций, которые не могут немедленно установить обновления, Fortinet предлагает временное решение: отключение HTTP/HTTPS-интерфейса администрирования, чтобы заблокировать основной вектор атаки.
Опасность быстрой эксплуатации публичных эксплойтов
Эта кампания - очередное подтверждение хорошо известной в кибербезопасности проблемы: как только PoC или детали уязвимости становятся общедоступными, злоумышленники начинают массовую эксплуатацию. Учитывая, что FortiWeb используется крупными корпорациями и государственными учреждениями, компрометация этих систем несет в себе угрозу не только для их владельцев, но и для всех приложений и сервисов, которые они защищают.
Специалисты по безопасности настоятельно рекомендуют организациям немедленно проверить свои системы на наличие уязвимости, применить обновления и соблюдать рекомендации по защите. В условиях, когда злоумышленники действуют с поразительной скоростью, промедление может обернуться серьезными последствиями, включая утечки данных, остановку критически важных сервисов и финансовые потери.
Эксперты также подчеркивают важность мониторинга сетевой активности и анализа логов, так как веб-шеллы и другие вредоносные инструменты могут долгое время оставаться незамеченными, даже если атака уже произошла.
Сегодняшняя ситуация с FortiWeb служит очередным напоминанием о том, что кибербезопасность - это гонка на опережение, где каждая уязвимость может быть использована против вас, как только информация о ней станет доступной. Компаниям необходимо не только своевременно обновлять ПО, но и внедрять многоуровневую защиту, включая системы обнаружения вторжений (IDS), анализ поведения пользователей (UEBA) и строгий контроль доступа.
Киберугрозы не исчезнут, но их последствия можно минимизировать, если действовать оперативно и осознанно. Внимание к безопасности и готовность реагировать на новые вызовы - лучшая защита от атакующих, которые не дремлют.
