Агентство кибербезопасности и инфраструктурной безопасности США (CISA) официально добавило в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV) новую критическую проблему безопасности. Речь идет об уязвимости CVE-2025-58034 в межсетевых экранах веб-приложений Fortinet FortiWeb, которая уже активно используется злоумышленниками в реальных атаках. Данный факт требует немедленного внимания со стороны организаций, использующих уязвимые версии данного программного обеспечения.
Детали уязвимости
Уязвимость представляет собой классическую инъекцию команд операционной системы (OS Command Injection), соответствующую классификации CWE-78. Если подробнее, она возникает из-за неправильной нейтрализации специальных элементов, используемых в командах ОС. Технически, аутентифицированный злоумышленник может выполнить произвольный код на целевой системе. Для этого ему достаточно отправить специально сформированные HTTP-запросы или команды интерфейса командной строки (CLI). Стоит подчеркнуть, что для успешной атаки требуется наличие у атакующего учетных данных, что несколько сужает круг потенциальных угроз, но не делает её менее опасной.
Под угрозой находятся популярные версии FortiWeb. В частности, уязвимыми признаны линейки с 7.0.2 по 7.0.11, с 7.2.0 по 7.2.11, с 7.4.0 по 7.4.8, а также с 7.6.0 по 7.6.4. Примечательно, что последняя мажорная версия 8.x также не избежала проблемы: затронуты версии 8.0.0 и 8.0.1. Такой широкий охват популярных и активно используемых версий делает эту уязвимость существенной угрозой для корпоративной безопасности.
Согласно общей системе оценки уязвимостей CVSS версии 3.1, проблема получила оценку 6.7 баллов, что соответствует среднему уровню серьезности (MEDIUM). Однако не стоит обманываться относительно скромной оценкой. Векторная строка CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C указывает на высокий потенциал ущерба. Атака может быть совершена через сеть (Network), имеет низкую сложность эксплуатации (Low), а ее последствия включают полную компрометацию конфиденциальности, целостности и доступности системы.
Тот факт, что CISA внесла CVE-2025-58034 в каталог KEV, является самым тревожным сигналом. Это означает, что американские власти располагают достоверными доказательствами активной эксплуатации данной уязвимости в дикой природе. Следовательно, злоумышленники уже не просто теоретически могут её использовать, а реально применяют для проникновения в корпоративные сети. Обычно такие уязвимости быстро включаются в арсенал групп, занимающихся целевыми атаками (APT), и операторов вредоносного программного обеспечения (malicious software), такого как программы-вымогатели (ransomware).
В свете этих событий организациям необходимо действовать незамедлительно. Во-первых, требуется срочно провести инвентаризацию всех развернутых систем Fortinet FortiWeb. Во-вторых, необходимо сверить их версии со списком уязвимых. Если используется пораженная версия, следует немедленно обратиться к вендору за исправлениями. Fortinet уже выпустил патчи для большинства затронутых веток. Например, в версиях 7.6.5 и 7.4.10 уязвимость была устранена. Установка этих обновлений является первоочередной и самой эффективной мерой защиты.
Если немедленное обновление по каким-либо причинам невозможно, рекомендуется применять временные обходные пути. Следует ужесточить политику аутентификации, минимизировать количество пользователей с привилегированным доступом к администрированию FortiWeb, а также усилить мониторинг сетевой активности. Необходимо обращать особое внимание на подозрительные HTTP-запросы к веб-интерфейсу устройства и нестандартные команды CLI. Интеграция систем обнаружения вторжений (IDS) и платформ управления информацией и событиями безопасности (SIEM) может помочь в оперативном выявлении попыток эксплуатации.
В долгосрочной перспектиverse данный инцидент в очередной раз демонстрирует важность своевременного управления обновлениями и применения стратегии постоянного мониторинга угроз. Продукты безопасности, такие как WAF, сами часто становятся мишенью для атак, поскольку их компрометация открывает злоумышленникам широкие возможности. Таким образом, поддержание проактивной позиции и следование рекомендациям таких авторитетных источников, как каталог KEV от CISA, является неотъемлемой частью современной кибергигиены для любой серьезной организации.
