В ноябре 2025 года обнаружена критическая уязвимость CVE-2025-64446 в межсетевом экране веб-приложений FortiWeb компании Fortinet. Проблема, получившая идентификатор BDU:2025-14084, связана с ошибками обработки относительных путей в функциях cgi_auth() и cgi_process(). Эксплуатация уязвимости позволяет удаленным злоумышленникам повышать привилегии через специально сконфигурированные HTTP- или HTTPS-запросы.
Детали уязвимости
Уязвимость затрагивает все основные версии FortiWeb, включая линейки 7.0.0-7.0.12, 7.2.0-7.2.12, 7.4.0-7.4.10, 7.6.0-7.6.5 и 8.0.0-8.0.2. Производитель классифицировал ошибку как критическую с оценкой CVSS 3.1 9.8 баллов, что соответствует наивысшему уровню угрозы. При этом базовая оценка CVSS 2.0 достигает максимальных 10 баллов.
Технически уязвимость относится к классу CWE-23 (Обход относительного пути) и представляет собой ошибку реализации механизма проверки путей к каталогам. Злоумышленники могут манипулировать ресурсами системы, обходя аутентификацию и получая несанкционированный доступ. Особенностью данной уязвимости является возможность полного компрометирования системы без необходимости предварительной аутентификации.
Согласно анализу лаборатории watchTowr, подробно изучившей уязвимость, эксплуатация позволяет злоумышленникам выдавать себя за легитимных пользователей. В результате атакующие получают возможность выполнять произвольные команды, изменять конфигурацию и получать полный контроль над защищаемыми ресурсами.
Производитель подтвердил наличие уязвимости и выпустил исправления в рамках инцидента FG-IR-25-910. При этом в открытом доступе уже существуют работающие эксплойты, что значительно повышает актуальность угрозы. Организации, использующие уязвимые версии FortiWeb, подвергаются серьезному риску компрометации.
В качестве компенсирующих мер специалисты рекомендуют ограничить использование HTTP/HTTPS протоколов для удаленного доступа, внедрить схему "белых списков" IP-адресов и ограничить возможность изменения системных файлов. Дополнительно предлагается использовать SIEM-системы для мониторинга изменений аутентификационных данных и системы обнаружения вторжений для отслеживания индикаторов компрометации.
Особое внимание следует уделить VPN-решениям для организации безопасного удаленного доступа. Важно отметить, что традиционные меры защиты могут оказаться недостаточными, поскольку уязвимость позволяет обходить стандартные механизмы аутентификации.
В текущих геополитических условиях производитель обращает внимание на необходимость тщательной оценки рисков при установке обновлений. Тем не менее, учитывая критический характер уязвимости и наличие работающих эксплойтов, рекомендуется незамедлительно применять официальные патчи после проведения соответствующих тестов в тестовой среде.
Эксперты по кибербезопасности подчеркивают, что подобные уязвимости в средствах защиты особенно опасны, поскольку злоумышленники активно сканируют интернет на предмет наличия уязвимых систем. Уже зафиксированы случаи попыток эксплуатации данной уязвимости в дикой природе.
Для полноценной защиты необходимо не только обновить программное обеспечение, но и пересмотреть архитектуру безопасности. В частности, рекомендуется сегментировать сеть, внедрить многофакторную аутентификацию и регулярно проводить аудит системных журналов. Многие организации недооценивают важность мониторинга самих систем безопасности, что создает дополнительные риски.
Современные кибератаки часто используют цепочки из нескольких уязвимостей, поэтому критически важно своевременно закрывать все известные векторы атак. Уязвимости в продуктах Fortinet традиционно привлекают внимание различных APT-групп (Advanced Persistent Threat - продвинутая постоянная угроза), что делает оперативное обновление особенно актуальным.
По данным статистики, среднее время от обнаружения уязвимости до первой попытки эксплуатации продолжает сокращаться. В случае с критическими уязвимостями в популярных продуктах этот интервал может составлять менее 24 часов. Следовательно, промедление с установкой обновлений значительно увеличивает риски успешной компрометации.
Производитель продолжает мониторинг ситуации и рекомендует клиентам следить за обновлениями на официальном портале безопасности. Регулярное обновление систем безопасности остается ключевым элементом защиты от современных киберугроз.
Ссылки
- https://bdu.fstec.ru/vul/2025-14084
- https://www.cve.org/CVERecord?id=CVE-2025-64446
- https://fortiguard.fortinet.com/psirt/FG-IR-25-910
- https://labs.watchtowr.com/when-the-impersonation-function-gets-used-to-impersonate-users-fortinet-fortiweb-auth-bypass/
