پچ بی‌سروصدای Fortinet برای یک آسیب‌پذیری روز-صفر در FortiWeb که به‌صورت گسترده مورد سوءاستفاده قرار گرفته!

شرح آسیب‌پذیری

Fortinet تأیید کرده است که یک آسیب‌پذیری روزصفر بحرانی در FortiWeb Web Application Firewall را به‌صورت بی‌سروصدا در نسخه 8.0.2 پچ کرده؛ در حالی که این حفره، به‌صورت گسترده در اینترنت مورد سوءاستفاده قرار گرفته است.

ماهیت باگ

این نقص یک Path Confusion / Path Traversal در مؤلفه GUI است که به مهاجم غیرمعتبر (بدون احراز هویت) امکان می‌دهد:

ارسال درخواست‌های HTTP/HTTPS ساختگی
اجرای دستورات مدیریتی
ایجاد اکانت‌های ادمین جدید
کنترل کامل دستگاه FortiWeb

این حملات از اوایل اکتبر ۲۰۲۵ مشاهده شده‌اند.

جزئیات حمله

گزارش اولیه توسط Defused در ۶ اکتبر منتشر شد. مهاجمین با یک حمله ناشناخته (مشابه CVE-2022-40684) اقدام به ارسال این درخواست می‌کردند:

				
					POST /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi

خروجی حمله: ایجاد اکانت ادمین سطح بالا روی دستگاه‌های در معرض اینترنت.

سپس:

watchTowr Labs یک PoC و ابزار تشخیص منتشر کرد.
Rapid7 تأیید کرد که PoC عمومی روی نسخه 8.0.2 دیگر کار نمی‌کند و مشکل رفع شده است.

نسخه‌های آسیب‌پذیر و نسخه امن

Fortinet اعلام کرده که این آسیب‌پذیری در نسخه‌های زیر وجود دارد:

نسخه FortiWeb	محدوده آسیب‌پذیر	نسخه امن
8.0	8.0.0 – 8.0.1	ارتقا → 8.0.2
7.6	7.6.0 – 7.6.4	ارتقا → 7.6.5
7.4	7.4.0 – 7.4.9	ارتقا → 7.4.10
7.2	7.2.0 – 7.2.11	ارتقا → 7.2.12
7.0	7.0.0 – 7.0.11	ارتقا → 7.0.12

وضعیت تهدید

سوءاستفاده فعال و گسترده تأیید شده
اکانت‌های ادمین غیرمجاز روی دستگاه‌ها مشاهده شده
پچ سه هفته بعد از شروع حملات منتشر شده
CISA آسیب‌پذیری را در KEV Catalog قرار داده (آژانس‌های فدرال موظف‌اند تا ۲۱ نوامبر پچ کنند)

راهکارهای فوری (برای کسانی که نمی‌توانند فوراً پچ کنند)

۱) غیرفعال‌سازی مدیریت تحت وب

غیرفعال کنید: HTTP/HTTPS Management
اجازه دهید فقط از شبکه‌های قابل‌اعتماد قابل دسترسی باشد

۲) بررسی امنیتی

به‌شدت توصیه می‌شود:

بررسی لاگ‌ها برای ساخت اکانت‌های ادمین غیرمجاز
بررسی تغییرات غیرمنتظره در تنظیمات
مانیتورینگ ترافیک مدیریت

جمع‌بندی فنی

CVE-2025-64446 یک authentication bypass + path traversal ترکیبی است که به مهاجم اجازه می‌دهد:

کنترل کامل دستگاه
اجرای دستورات مدیریتی
ساخت اکانت ادمین
عبور از کنترل‌های دسترسی

این نقص شباهت بسیار زیادی به CVE-2022-40684 دارد، اما با منطق حمله متفاوت و پیچیده‌تر.

منابع:

https://www.bleepingcomputer.com/news/security/fortinet-confirms-silent-patch-for-fortiweb-zero-day-exploited-in-attacks/