Основы Интернет - технологий.

Представители Fortinet предупреждают о массовой эксплуатации критической 0-day-уязвимости в своем файрволе для веб-приложений FortiWeb. Компания выпустила патч для этой проблемы почти месяц назад, однако официально уязвимость признали только сейчас — после того как исследователи забили тревогу и опубликовали proof-of-concept эксплоиты. Первые признаки атак на уязвимость нулевого дня зафиксировали специалисты компании Defused 6 октября 2025 года. Тогда исследователи обнаружили, что неизвестные злоумышленники эксплуатируют уязвимость типа path traversal в FortiWeb для создания новых административных учетных записей. Хакеры отправляли специально сформированные HTTP POST-запросы к эндпоинту /api/v2.0/cmdb/system/admin?//////cgi-bin/fwbcgi, что позволяло им создавать локальные аккаунты с правами администратора. Исследователи предположили, что это может быть вариация старой уязвимости CVE-2022-40684. 28 октября 2025 года, через три недели после обнаружения атак, разработчики Fortinet выпустили FortiWeb 8.0.2 с патчем для этой проблемы. Однако никакой официальной информации о баге компания не опубликовала. В конце прошлой недели исследователи из компании watchTowr Labs продемонстрировали работающий эксплоит для этой уязвимости и выпустили инструмент FortiWeb Authentication Bypass Artifact Generator, чтобы помочь администраторам обнаружить скомпрометированные устройства. В свою очередь, аналитики компании Rapid7 подтвердили, что уязвимость затрагивает FortiWeb 8.0.1 и более старые версии, а публично доступные в сети эксплоиты перестают работать после обновления до версии 8.0.2. Лишь 14 ноября 2025 года представители Fortinet официально раскрыли детали проблемы. Уязвимость получила идентификатор CVE-2025-64446 и классифицирована как path confusion vulnerability в GUI-компоненте FortiWeb. «Fortinet наблюдает активную эксплуатацию этой уязвимости в реальных атаках», — предупреждается в бюллетене безопасности компании. По сути, CVE-2025-64446 позволяет неаутентифицированным атакующим выполнять административные команды на уязвимых системах через специально подготовленные HTTP или HTTPS запросы. Иными словами, для атаки не нужно знать пароль — достаточно отправить правильно сформированный запрос. Сообщается, что уязвимость затрагивает широкий спектр версий FortiWeb: FortiWeb 8.0.0 – 8.0.1 (патч: 8.0.2 или выше); FortiWeb 7.6.0 – 7.6.4 (патч: 7.6.5 или выше); FortiWeb 7.4.0 – 7.4.9 (патч: 7.4.10 или выше); FortiWeb 7.2.0 – 7.2.11 (патч: 7.2.12 или выше); FortiWeb 7.0.0 – 7.0.11 (патч: 7.0.12 или выше). Для тех, кто не может немедленно обновиться, Fortinet рекомендует: отключить HTTP и HTTPS на всех интерфейсах управления, доступных из интернета; ограничить доступ к административной панели только доверенными сетями; проверить конфигурации и логи на наличие несанкционированных учетных записей администраторов; искать любые подозрительные изменения в системе. Агентство по кибербезопасности и защите инфраструктуры США (CISA) уже добавило CVE-2025-64446 в каталог активно эксплуатируемых уязвимостей (KEV) и приказало всем федеральным ведомствам устранить проблему до 21 ноября 2025 года.