خانه » CVE-2025-22862
هشدار‌های سایبری

CVE-2025-22862

Authentication Bypass in FortiOS and FortiProxy Enabling Privilege Escalation via Webhook

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 4 بازدید
هشدار سایبری CVE-2025-22862
  • شناسه CVE-2025-22862 :CVE
  • CWE-288 :CWE
  • yes :Advisory
  • منتشر شده: اکتبر 2, 2025
  • به روز شده: اکتبر 15, 2025
  • امتیاز: 6.3
  • نوع حمله: Authentication Bypass
  • اثر گذاری: Privilege Escalation
  • حوزه: تجهیزات شبکه و امنیت
  • برند: Fortinet
  • محصول: FortiOS
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری دور زدن احراز هویت (Authentication Bypass) با استفاده از مسیر یا کانال جایگزین در کامپوننت Automation Stitch محصولات Fortinet شناسایی شده است. این آسیب پذیری به مهاجمان احراز هویت‌شده اجازه می‌دهد با فعال‌سازی اکشن Webhook مخرب، سطح دسترسی خود را افزایش دهند.

توضیحات

آسیب‌پذیری CVE-2025-22862 در کامپوننت Automation Stitch (ابزار اتوماسیون برای اتصال رویدادها به اکشن‌ها در محصولات Fortinet) محصولات FortiOS و FortiProxy رخ می‌دهد، جایی که دور زدن احراز هویت از طریق مسیر جایگزین در پردازش اکشن‌های Webhook (Webhook، مکانیزمی برای ارسال داده‌های بلادرنگ از طریق HTTP به URLهای خارجی) منجر به افزایش سطح دسترسی می شود و مطابق با CWE-288 طبقه‌بندی می‌گردد.

این ضعف در لایه AUTOMATION محصولات امنیتی Fortinet فعال می‌شود. مهاجم احراز هویت‌شده (مانند کاربر با دسترسی مدیریتی محدود)، اکشن Webhook مخرب را در Stitch (زنجیره اتوماسیون) فعال کرده تا از کانال جایگزین (مانند درخواست HTTP داخلی بدون چک امنیتی) برای دور زدن محدودیت‌ها استفاده کند.

این آسیب‌پذیری از طریق فعال‌سازی اکشن Webhook مخرب در Automation Stitch قابل بهره برداری و به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با ابزارهای خودکار مانند اسکریپت‌های پایتون یا فریم‌ورک‌های اکسپلویت اتوماسیون ، به‌صورت لوکال و بدون تعامل کاربر اضافی اما با داشتن دسترسی اولیه، اکشن مخرب را اجرا کند و احراز هویت را دور بزند که منجر به افزایش سطح دسترسی یا دسترسی کامل به تنظیمات حساس می‌شود.

پیامدهای این آسیب‌پذیری شامل نقض محرمانگی با دسترسی به داده‌های حساس مانند کلیدهای رمزنگاری یا لاگ‌های امنیتی، یکپارچگی با تغییر تنظیمات سیستم یا نصب بدافزار و اختلال در در دسترس‌پذیری با امکان کرش کامپوننت‌های اتوماسیون یا سرویس‌های وابسته است.

این آسیب‌پذیری محصولات Fortinet شامل FortiOS و FortiProxy را تحت‌تأثیر قرار می‌دهد. Fortinet پچ‌های مربوطه را منتشر کرده است؛ بنابراین اقدام فوری برای اعمال به‌روزرسانی‌های امنیتی توصیه می‌شود.

CVSS

Score Severity Version Vector String
6.3 MEDIUM 3.1 CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:C

لیست محصولات آسیب پذیر

Versions Product
affected from 7.6.0 through 7.6.2

affected from 7.4.0 through 7.4.8

affected from 7.2.0 through 7.2.15

affected from 7.0.5 through 7.0.21

 FortiProxy
affected from 7.4.0 through 7.4.7

affected from 7.2.0 through 7.2.11

affected from 7.0.6 through 7.0.17

 FortiOS

لیست محصولات بروز شده

Versions Product
upgrade to version 7.6.3 or above

upgrade to version 7.4.9 or above

 FortiProxy
upgrade to version 7.6.0 or above

upgrade to version 7.4.8 or above

upgrade to version 7.2.12 or above

 FortiOS

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Fortinet را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
123,000 site:.ir “Fortinet” Fortinet

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در کامپوننت Automation Stitch محصولات Fortinet، امکان دور زدن احراز هویت و افزایش سطح دسترسی را برای مهاجمان احراز هویت‌شده را فراهم کرده و امنیت فرآیندهای اتوماسیون را تهدید می کند. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر ضروری است:

  • به‌روزرسانی فوری: محصولات Fortinet را از طریق ابزار Upgrade Path (https://docs.fortinet.com/upgrade-tool) به نسخه‌های پچ‌شده به‌روزرسانی کنید. فایل‌های به‌روزرسانی را تنها از منابع رسمی Fortinet دانلود نمایید.
  • راهکارهای کاهش ریسک (Mitigations): اکشن‌های Webhook را در Automation Stitch محدود یا غیرفعال کنید، دسترسی به Stitch را با فایروال‌های داخلی ایزوله نمایید و اجراهای مخرب را با فایروال اپلیکیشن وب (WAF) مسدود کنید.
  • محدودسازی دسترسی: احراز هویت دو مرحله‌ای (2FA) را برای کاربران ادمین فعال کنید، اصل حداقل دسترسی (Least Privilege) را اعمال نمایید و دسترسی به کامپوننت‌های اتوماسیون را با RBAC کنترل کنید.
  • نظارت بر لاگ ها: لاگ‌های Automation Stitch و Webhook را با ابزارهایی مانند FortiAnalyzer یا Splunk بررسی کنید و از سیستم‌های SIEM برای تشخیص اکشن‌های مشکوک استفاده نمایید.
  • ایزوله‌سازی محیط: کامپوننت Automation Stitch را در کانتینرهای ایزوله مانند Docker اجرا کنید و دسترسی به Webhook را با ابزارهای امنیتی مانند SELinux محدود نمایید.
  • اسکن و تست امنیتی: محصولات را با ابزارهایی مانند FortiGuard Vulnerability Scanner یا Nessus اسکن کنید و تست‌های نفوذ روی سناریوهای Webhook مخرب انجام دهید.
  • آموزش: کاربران و مدیران را در مورد ریسک‌های دور زدن احراز هویت در کامپوننت‌های اتوماسیون، اهمیت به‌روزرسانی‌های فریم‌ور و تشخیص اکشن‌های مشکوک آموزش دهید.
  • در صورت امکان به روزرسانی به نسخه‌های جدیدتر یا جایگزینی Webhook با مکانیزم‌های را انجام دهید تا ریسک به طور قابل توجهی کاهش یابد. برخی راهکارهای پیشرفته مانند «ایزوله‌سازی Stitch در کانتینر» بستگی به معماری محصول دارد و ممکن است نیازمند تغییرات در سطح فریم ور باشد. این موارد به‌عنوان اقدامات بلندمدت در نظر گرفته شوند.

اجرای این اقدامات ریسک افزایش دسترسی را به حداقل رسانده و امنیت محصولات Fortinet را در برابر حملات احراز هویت‌شده تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم با یک حساب احراز هویت‌شده سطح پایین مثلا ًread‑only admin وارد کنسول مدیریتی می‌شود و از طریق اتصالات WebSocket که به GUI وصل‌اند، foothold اولیه را برقرار می‌کند

Discovery (TA0007)
مهاجم پس از ورود با صدا زدن APIها و endpointهای GUI/WebSocket ساختار پیکربندی، نقش‌ها و اهداف بالقوه برای افزایش امتیاز را شناسایی می‌کند

Privilege Escalation (TA0004)
هسته آسیب‌پذیری این است که منطق مجوزدهی WebSocket قابل فریب است و مهاجم می‌تواند خود را از read‑only به super‑admin ارتقا دهد، که اجازه تغییر پیکربندی، نصب ماژول یا سرقت کلیدها را می‌دهد

Collection (TA0009)
پس از ارتقا، مهاجم لاگ‌ها، کانفیگ‌ها، کلیدها و اطلاعات حساس را جمع‌آوری می‌کند

Exfiltration (TA0010)
مهاجم ممکن است داده‌های جمع‌آوری‌شده را از طریق کانال‌های قانونی یا مخفی مثلاً WebSocket یا تونل‌های خروجی خارج کند

Defense Evasion (TA0005)
مهاجم می‌تواند لاگ‌ها را پاک یا تغییر دهد، از جلسات معتبر سوءاستفاده کند یا crashهای گذرا ایجاد کند تا ردپاها را محو کند

Lateral Movement (TA0008)
با دسترسی مدیریتی مهاجم می‌تواند به کنسول‌های دیگر، دستگاه‌های شبکه و API های مدیریتی حمله کند و دامنه را گسترش دهد

Impact (TA0040)
پیامدها شامل افشای کلیدهای رمزنگاری، تغییر یا حذف پیکربندی‌های امنیتی، نصب بدافزار و اختلال سرویس مدیریتی است که می‌تواند به از کار افتادن سرویس‌های حیاتی منجر شود

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-22862
  2. https://www.cvedetails.com/cve/CVE-2025-22862/
  3. https://fortiguard.fortinet.com/psirt/FG-IR-24-385
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-22862
  5. https://vuldb.com/?id.312016
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-22862
  7. https://cwe.mitre.org/data/definitions/288.html

همچنین ممکن است دوست داشته باشید

CVE-2025-22011

CVE-2025-22067

CVE-2025-22254

CVE-2025-22258

CVE-2025-21701

CVE-2025-21439

CVE-2025-1331

CVE-2025-1300

CVE-2025-21245

CVE-2025-21409

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×