Критическая уязвимость в Fortinet FortiWeb позволяет создавать административные учетные записи без аутентификации

В ноябре 2025 года стала активно эксплуатироваться критическая уязвимость в WAF Fortinet FortiWeb. Данная уязвимость, получившая идентификатор CVE-2025-64446, относится к типу обход пути (path traversal) и позволяет неаутентифицированным злоумышленникам создавать административные учетные записи на уязвимых устройствах. При этом Fortinet изначально исправила проблему без публичного уведомления, что привело к скрытой эксплуатации до официального раскрытия информации.

Детали уязвимости

Активная эксплуатация уязвимости началась значительно раньше публикации деталей. Первые подозрительные активности были зафиксированы исследователями еще в начале октября 2025 года. Затем, 8 ноября, в открытом доступе появилось публичное proof-of-concept (PoC, доказательство концепции) для данной уязвимости. К 13 ноября множество источников сообщили о масштабных сканирующих кампаниях, нацеленных на экземпляры FortiWeb по всему миру. Официально Fortinet выпустила консультативное сообщение о безопасности лишь 14 ноября, присвоив проблеме идентификатор CVE-2025-64446.

Технически уязвимость заключается в обработке специально сформированных HTTP POST запросов по определенному пути. Конкретно, атака направлена на конечную точку /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi. По средствам уязвимости злоумышленник может обойти механизмы аутентификации и выполнить внутренние скрипты для создания новой учетной записи с административными привилегиями. Таким образом, полезная нагрузка атаки напрямую приводит к эскалации привилегий и получению полного контроля над устройством.

Исследовательская компания WatchTowr подтвердила работоспособность эксплойта и продемонстрировала, что на последней версии FortiWeb 8.0.2 попытки эксплуатации блокируются и возвращают ответ HTTP 403 Forbidden. Аналогичные тесты, проведенные CERT Orange Cyberdefense, показали, что уязвимыми являются версии FortiWeb 8.0.1 и ниже, включая основные ветки 7.6, 7.4, 7.2 и 7.0. Соответственно, исправленные версии включают 8.0.2, 7.6.5, 7.4.10, 7.2.12 и 7.0.12.

Воздействие на организации может быть катастрофическим. В случае успешной атаки злоумышленник получает неавторизованный административный доступ к системе. Следовательно, он может создавать устойчивые бэкдоры, отключать или изменять политики безопасности, перехватывать данные и манипулировать работой на прикладном уровне. Более того, учитывая интеграцию FortiWeb с другими продуктами Fortinet, компрометация одного устройства может открыть путь для латерального перемещения по корпоративной сети.

Рекомендации по устранению четко определены. Во-первых, необходимо немедленно обновить затронутые продукты до актуальных исправленных версий. Если быстрое обновление невозможно, следует отключить HTTP и HTTPS управление на интерфейсах, обращенных в интернет. Однако важно подчеркнуть, что это лишь временная мера, которая снижает, но не устраняет риск полностью. После применения патчей рекомендуется провести аудит конфигураций и журналов событий на предмет несанкционированных изменений или добавления подозрительных учетных записей.

Данный инцидент не является единичным случаем для продуктов Fortinet. Ранее, в июле 2025 года, активно эксплуатировалась другая уязвимость CVE-2025-25257 в FortiWeb. Следовательно, можно ожидать, что злоумышленники будут продолжать целенаправленно искать и использовать подобные уязвимости в популярных решениях безопаности. Глобальное сканирование и доступность PoC лишь усугубляют ситуацию, вынуждая администраторов действовать максимально оперативно.

В заключение, уязвимость CVE-2025-64446 представляет собой серьезную угрозу для организаций, использующих FortiWeb. Ее эксплуатация не требует аутентификации и приводит к полному контролю над устройством. Учитывая активные атаки в дикой природе, единственным надежным способом защиты является незамедлительное применение официальных патчей от вендора.

Детали уязвимости

Ссылки