Οι φορείς απειλών εκμεταλλεύονται ενεργά μια ευπάθεια παράκαμψης κρίσιμου ελέγχου ταυτότητας στο τείχος προστασίας διαδικτυακής εφαρμογής FortiWeb (WAF) της Fortinet παγκοσμίως, ωθώντας τους υπερασπιστές να αυξήσουν την επαγρύπνηση.
Οι ερευνητές στο watchTowr Labs απάντησαν κυκλοφορώντας ένα σενάριο Detection Artefact Generator, σχεδιασμένο για να βοηθά τους οργανισμούς να σαρώνουν το περιβάλλον τους για ευάλωτες συσκευές FortiWeb και να μετριάζουν τους κινδύνους γρήγορα.
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2025-52970, προέρχεται από ακατάλληλο χειρισμό παραμέτρων στο FortiWeb, επιτρέποντας στους μη επιβεβαιωμένους απομακρυσμένους εισβολείς να συνδεθούν ως οποιοσδήποτε υπάρχων χρήστης μέσω επεξεργασμένων αιτημάτων.
Με βαθμολογία CVSS 7,7, απαιτεί κάποια μη δημόσια γνώση της συσκευής, αλλά εγκυμονεί σοβαρούς κινδύνους, συμπεριλαμβανομένης της κλιμάκωσης των προνομίων και της πιθανής απομακρυσμένης εκτέλεσης κώδικα στα επηρεαζόμενα συστήματα.
Το Fortinet διορθώθηκε το ελάττωμα στις εκδόσεις 8.0.2 και νεότερες, αλλά οι επιθέσεις in-the-wild έχουν αυξηθεί από τότε που εμφανίστηκε δημόσια μια μερική απόδειξη της ιδέας τον Αύγουστο του 2025, στοχεύοντας αδιακρίτως εκτεθειμένες περιπτώσεις FortiWeb.
Οι εταιρείες ασφαλείας αναφέρουν δεκάδες συμβιβασμούς, υπογραμμίζοντας την επείγουσα ανάγκη για άμεση επιδιόρθωση εν μέσω συνεχιζόμενων εκστρατειών εκμετάλλευσης.
Εργαλείο ανοιχτού κώδικα της WatchTowr Labs, φιλοξενείται στις Το GitHub στο watchTowr-vs-Fortiweb-AuthBypass, απλοποιεί τον εντοπισμό προσομοιώνοντας τον μηχανισμό παράκαμψης. Το σενάριο Python δημιουργεί ένα μοναδικό όνομα χρήστη και κωδικό πρόσβασης (π.χ. “35f36895”) και στέλνει ένα ωφέλιμο φορτίο εκμετάλλευσης στην IP προορισμού, όπως π.χ. python watchTowr-vs-Fortiweb-AuthBypass.py 192.168.1.99.
Εάν είναι επιτυχής, επιβεβαιώνει την ευπάθεια δημιουργώντας έναν προσωρινό χρήστη, ειδοποιώντας τους διαχειριστές για επανόρθωση. Συγγραφέας των Sina Kheirkhah (@SinSinology) και Jake Knott (@inkmoro), το σενάριο στοχεύει σε εκδόσεις FortiWeb κάτω από την έκδοση 8.0.2, με λεπτομέρειες διαθέσιμες μέσω του FortiGuard Labs PSIRT.
Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στη σάρωση συσκευών που έχουν πρόσβαση στο Διαδίκτυο, στην εφαρμογή ενημερώσεων κώδικα και στην παρακολούθηση για ανώμαλες συνδέσεις. Καθώς οι επιθέσεις στην αλυσίδα εφοδιασμού εξελίσσονται, εργαλεία όπως αυτό ενισχύουν την προληπτική άμυνα σε ένα τοπίο απειλών όπου τα WAF γίνονται ειρωνικά σημεία εισόδου.
