Исследователи кибербезопасности выявили критическую уязвимость в веб-брандмауэре FortiWeb от компании Fortinet, позволяющую неавторизованным злоумышленникам полностью обходить аутентификацию и получать доступ к системам под видом любого существующего пользователя, включая администраторов. Уязвимость, получившая идентификатор CVE-2025-52970 и название "Fort-Majeure", оценена как высокорисковая и затрагивает широкий спектр версий популярного решения для защиты веб-приложений.
Механизм эксплуатации
Суть уязвимости, как пояснил её первооткрыватель, исследователь Aviv Y (@0x_shaq), кроется в фундаментальной ошибке обработки параметров в механизме разбора cookie веб-приложением. Проблема классифицируется как CWE-233 (Improper Handling of Parameters) и приводит к критическому нарушению безопасности сессий пользователей. Конкретно, эксплойт использует уязвимость типа "out-of-bounds read" (чтение за пределами допустимого диапазона) в коде, отвечающем за обработку файлов cookie FortiWeb. Эта ошибка позволяет атакующему заставить сервер использовать предсказуемый секретный ключ шифрования и подписи сессий, состоящий исключительно из нулей, вместо надлежащего случайно сгенерированного ключа.
Механизм эксплуатации сосредоточен вокруг манипуляции параметром "Era", встроенным в структуру сессионного cookie FortiWeb. Стандартный сессионный cookie включает три компонента: значение Era, зашифрованный полезный блок данных сессии (содержащий идентификационные данные пользователя) и аутентификационный хеш. Исследователь обнаружил, что, изменяя значение параметра Era на числа в диапазоне от 2 до 9, злоумышленник может спровоцировать возникновение ошибки чтения за пределами выделенной памяти. Эта ошибка, в свою очередь, заставляет систему использовать скомпрометированный, полностью нулевой ключ для шифрования и подписи сессий. "Эта ошибка представляет собой именно тот тип тихого сбоя, который не должен был произойти - когда система, созданная для защиты, в итоге доверяет ничему, как если бы это было всем", - прокомментировал Aviv Y.
Успешная эксплуатация CVE-2025-52970 предоставляет атакующему возможность полностью обойти процедуру входа в систему. Имея определенную непубличную информацию как о целевом устройстве FortiWeb, так и о конкретных пользователях системы, злоумышленник может сформировать специально созданный вредоносный запрос. Этот запрос позволяет ему выдать себя за любого существующего пользователя, чей активный сеанс присутствует в системе во время атаки. Демонстрация исследователя подтвердила возможность имперсонации через конечные точки REST API и подключения CLI, включая получение прав администратора.
Несмотря на высокую степень критичности (CVSS v3.1 оценка 7.7, вектор AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:C), практическая реализация атаки имеет ряд существенных ограничений. Во-первых, для успешной подмены сессии атакующему необходимо перебрать (брутфорсить) неизвестный номер валидации. Во-вторых, ключевым условием является наличие активной сессии целевого пользователя на момент проведения атаки. Если пользователь не авторизован в системе в данный момент, эксплойт не сработает. Тем не менее, сама уязвимость радикально повышает математическую вероятность успешного подбора ключа из-за вынужденного перехода системы на использование нулевых ключей шифрования вместо криптографически стойких случайных значений.
Уязвимость затрагивает значительное количество версий FortiWeb, за исключением ветки 8.0. Fortinet выпустила патчи для всех уязвимых релизов. Для ветки FortiWeb 7.6 (версии 7.6.0 - 7.6.3) требуется обновление до версии 7.6.4 или выше. Пользователям FortiWeb 7.4 (версии 7.4.0 - 7.4.7) необходимо установить версию 7.4.8 или новее. Версии 7.2.0 - 7.2.10 требуют обновления до 7.2.11 или выше, а пользователям ветки 7.0 (версии 7.0.0 - 7.0.10) следует перейти на версию 7.0.11 или более позднюю. Компания Fortinet опубликовала официальное уведомление о безопасности (IR Number FG-IR-25-448) 12 августа 2025 года, в котором признала ответственное раскрытие информации исследователем Aviv Y и подтвердила внедрение исправлений во всех поддерживаемых линейках продуктов.
Обнаружение CVE-2025-52970 подчеркивает серьезные риски для организаций, использующих FortiWeb в качестве ключевого элемента защиты своих веб-приложений. Возможность полного обхода аутентификации в устройстве, которое по определению должно предотвращать подобные атаки, ставит под угрозу целостность защищаемых систем и данных. Инцидент служит суровым напоминанием о критической важности своевременного применения обновлений безопасности для всех компонентов сетевой инфраструктуры, особенно тех, которые выполняют функции периметровой защиты. Fortinet настоятельно рекомендует всем клиентам, использующим уязвимые версии FortiWeb, немедленно установить предоставленные исправления, чтобы устранить эту опасную брешь в безопасности.
