Povestea tratează o vulnerabilitate critică din FortiWeb, firewall pentru aplicații web dezvoltat de Fortinet, exploatată activ pe internet și remediată discret de companie. Evenimentele au avut loc la sfârșitul lunii octombrie, după ce cercetători în securitate au raportat atacuri care permiteau crearea de conturi administrative fără autentificare pe dispozitive expuse public.
Fortinet a publicat un patch în versiunea FortiWeb 8.0.2 pe 28 octombrie, ca reacție la semnalările inițiale din 6 octombrie, când firma de inteligență pe amenințări Defused a dat publicității un proof-of-concept care demonstra că cererile HTTP POST către un endpoint specific permit crearea de conturi locale cu privilegii administrative. Un alt grup de cercetare, watchTowr Labs, a arătat și el un exploit și a oferit un instrument numit FortiWeb Authentication Bypass Artifact Generator pentru ca administratorii să identifice dispozitive vulnerabile. Rapid7 a confirmat că exploitul publicat nu mai funcționează după actualizarea la 8.0.2 și a menționat că versiunile afectate includ FortiWeb 8.0.0 și 8.0.1.
Fortinet a clasificat problema ca fiind o vulnerabilitate de tip path confusion, înregistrată ca CVE-2025-64446. Ea afectează componenta GUI a FortiWeb și permite unui atacator neautentificat să execute comenzi administrative prin mesaje HTTP sau HTTPS special construite, pe sistemele neactualizate. Compania a specificat că a observat exploatarea activă a acestei vulnerabilități în mediul real.
Tabelul de versiuni cu remediile recomandate indică: pentru rama 8.0, versiunile 8.0.0–8.0.1 trebuie actualizate la 8.0.2 sau versiuni ulterioare; pentru 7.6, 7.6.0–7.6.4 trebuie să treacă la 7.6.5 sau mai sus; pentru 7.4, 7.4.0–7.4.9 la 7.4.10 sau mai sus; pentru 7.2, 7.2.0–7.2.11 la 7.2.12 sau mai sus; iar pentru 7.0, 7.0.0–7.0.11 la 7.0.12 sau ulterior. CISA a inclus CVE-2025-64446 în catalogul vulnerabilităților exploatate activ și a cerut agențiilor federale americane să aplice patch-urile până pe 21 noiembrie, avertizând că astfel de vectori de atac sunt frecvent exploatați de actori malițioși și prezintă riscuri majore pentru infrastructura federală.
Pentru echipele IT care nu pot face imediat upgrade, recomandarea este să dezactiveze HTTP și HTTPS pentru interfețele de management expuse pe internet și să limiteze accesul doar la rețele de încredere. Fortinet a sfătuit clienții să verifice configurațiile și jurnalele pentru a detecta conturi administrative noi neautorizate sau alte schimbări neașteptate. Publlicațiile tehnice au încercat să obțină comentarii suplimentare de la Fortinet, fără răspuns imediat.
Acest incident face parte dintr-un context mai amplu: în august Fortinet remediase o altă vulnerabilitate critică, de tip command injection (CVE-2025-25256), în soluția FortiSIEM, iar în paralel au avut loc valuri de atacuri brute-force asupra VPN-urilor Fortinet SSL. În consecință, ecosistemul produselor Fortinet a fost supus unei presiuni continue din partea atacatorilor în ultimele luni, iar descoperirile rapide ale cercetătorilor subliniază necesitatea unei reacții prompte din partea vendorilor și administratorilor.
CVE-2025-64446 a fost semnalată inițial prin probe publicate pe 6 octombrie, iar remediul oficial a apărut pe 28 octombrie. Listele de versiuni afectate arată clar actualizările necesare pentru fiecare ramură FortiWeb (8.0.2, 7.6.5, 7.4.10, 7.2.12, 7.0.12). CISA a impus termenul de 21 noiembrie pentru patchare în agențiile federale, iar măsurile practice recomandate includ dezactivarea interfețelor web de management și verificarea imediată a jurnalelor pentru conturi administrative noi.
Esential rămâne modul în care astfel de vulnerabilități sunt descoperite și comunicate: Defused, watchTowr Labs și Rapid7 au avut roluri importante în detectare și în furnizarea de instrumente sau clarificări, iar Fortinet a emis patch-ul la câteva săptămâni după primele semnalări. Pe termen scurt, organizațiile care folosesc FortiWeb trebuie să aplice actualizările recomandate și să implementeze măsurile temporare de protecție. Pe termen lung, cazul evidențiază importanța monitorizării active, a testării periodice de penetrare și a unor politici stricte pentru interfețele de management expuse public.
CVE-2025-64446, versiunea FortiWeb 8.0.2 și data de 28 octombrie sunt elementele esențiale de reținut; recomandarea practică este actualizarea imediată sau izolarea interfețelor de management. Crezi că organizațiile își pot reorganiza rapid procesele astfel încât să răspundă mai eficient la astfel de vulnerabilități?
Fii primul care comentează