Η CISA εξέδωσε μια επείγουσα προειδοποίηση σχετικά με μια κρίσιμη ευπάθεια στο FortiWeb Web Application Firewall (WAF) της Fortinet, την οποία εκμεταλλεύονται ενεργά παράγοντες απειλών για την κατάληψη του διοικητικού ελέγχου των επηρεαζόμενων συστημάτων.
Παρακολούθηση ως CVE-2025-64446, το ελάττωμα προέρχεται από ένα σχετικό ζήτημα διέλευσης διαδρομής (CWE-23) που επιτρέπει στους μη επιβεβαιωμένους εισβολείς να εκτελούν αυθαίρετες διαχειριστικές εντολές μέσω ειδικά διαμορφωμένων αιτημάτων HTTP ή HTTPS.
Προστέθηκε στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV) της CISA στις 14 Νοεμβρίου 2025, η ευπάθεια φέρει ημερομηνία λήξης στις 21 Νοεμβρίου προκειμένου οι ομοσπονδιακές υπηρεσίες να εφαρμόσουν μέτρα μετριασμού ή να διακόψουν τη χρήση.
Η συμβουλή της Fortinet (FG-IR-25-910) επιβεβαιώνει ότι το πρόβλημα επηρεάζει πολλές εκδόσεις FortiWeb, συμπεριλαμβανομένων εκείνων που εκτελούν υλικολογισμικό έως 7.4.7 και 7.6.5. Οι εισβολείς μπορούν να το εκμεταλλευτούν χωρίς έλεγχο ταυτότητας, οδηγώντας δυνητικά σε πλήρη παραβίαση του συστήματος, εξαγωγή δεδομένων ή ανάπτυξη κακόβουλου λογισμικού.
Αν και είναι άγνωστο εάν η ευπάθεια έχει συνδεθεί με εκστρατείες ransomware, οι ερευνητές ασφαλείας έχουν αναφέρει πραγματική εκμετάλλευση σε οργανώσεις στόχευσης σε τομείς όπως η χρηματοδότηση και η υγειονομική περίθαλψη.
Η ευπάθεια FortiWeb WAF αξιοποιείται στη φύση
“Αυτό το σφάλμα διέλευσης διαδρομής είναι μια κλασική αλλά επικίνδυνη παράβλεψη στον χειρισμό αρχείων”, δήλωσε η ειδικός στον τομέα της κυβερνοασφάλειας Maria Chen, ερευνήτρια ευπάθειας σε μια κορυφαία εταιρεία πληροφοριών απειλών. “Η πρόσβαση χωρίς έλεγχο ταυτότητας σε λειτουργίες διαχειριστή μετατρέπει ένα WAF που προστατεύει τις εφαρμογές Ιστού σε μια κερκόπορτα για τους εισβολείς.”
Η Fortinet προτρέπει την άμεση ενημέρωση κώδικα στις πιο πρόσφατες εκδόσεις, όπως η 7.4.8 ή η 7.6.6, και συνιστά τον περιορισμό της πρόσβασης διαχειριστή μέσω τμηματοποίησης δικτύου.
Για περιπτώσεις που αναπτύσσονται σε σύννεφο, CISA συμβουλεύει συμμόρφωση στη Δεσμευτική Επιχειρησιακή Οδηγία (BOD) 22-01, η οποία επιβάλλει την έγκαιρη αποκατάσταση των τρωτών σημείων στα ομοσπονδιακά συστήματα.
Οι οργανισμοί που δεν μπορούν να επιδιορθώσουν θα πρέπει να απομονώσουν τις επηρεαζόμενες συσκευές και να παρακολουθούν για δείκτες συμβιβασμού, όπως ασυνήθιστα μοτίβα επισκεψιμότητας HTTP ή μη εξουσιοδοτημένη εκτέλεση εντολών.
Το ελάττωμα υπογραμμίζει τους συνεχείς κινδύνους στις συσκευές ασφάλειας δικτύου, οι οποίες αποτελούν πρωταρχικούς στόχους για προηγμένες επίμονες απειλές (APT). Καθώς η εκμετάλλευση αυξάνεται, οι ειδικοί προειδοποιούν ότι οι μη επιδιορθωμένες αναπτύξεις FortiWeb θα μπορούσαν να ενισχύσουν ευρύτερες αλυσίδες επίθεσης, όπως η πλευρική κίνηση σε εταιρικά δίκτυα. Η Fortinet δεν αποκάλυψε την αρχική μέθοδο ανακάλυψης, αλλά τονίζει ότι δεν παραβιάστηκαν δεδομένα πελατών κατά τη διάρκεια της έρευνάς της.
Καθώς πλησιάζει η προθεσμία ενημέρωσης κώδικα, οι επηρεαζόμενοι χρήστες αγωνίζονται για ενημέρωση. Οι καθυστερήσεις θα μπορούσαν να εκθέσουν ευαίσθητες υποδομές σε επίμονες απειλές, υπογραμμίζοντας την ανάγκη για προληπτική διαχείριση ευπάθειας σε μια εποχή μηδενικών εκμεταλλεύσεων.
