Tehdit aktörleri kritik bir güvenlik açığından aktif olarak yararlanıyor Ekim 2025’in başlarından beri Fortinet’in FortiWeb web uygulaması güvenlik duvarında bulunan yol geçişi güvenlik açığı, kimliği doğrulanmamış saldırganların hileli yönetici hesapları oluşturmasına ve tam erişim elde etmesine olanak tanıyor. maruz kalan cihazların kontrolü.
WatchTowr Laboratuvarlarındaki araştırmacılar, kusuru ilk kez 13 Kasım 2025’te detaylandırarak, hassas CGI komut dosyalarına ulaşmak için korumaları atlayan bir yol geçişi ve kimlik doğrulama atlama sorunları zincirini ortaya çıkardı.
Fortinet, PSIRT tavsiye belgesinde (FG-IR-25-910) bu istismarı doğruladı ve CVE-2025-64446’yı internete bakan cihazları hedef alan gelişigüzel küresel tarama raporlarıyla atadı.
Bu istismar, GUI API uç noktasında POST /api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi gibi bir yol geçişiyle başlar ve fwbcgi ikili dosyasına kimlik doğrulamasız erişim sağlar.
Bu CGI işleyicisi ayrıcalıklı komutları çalıştırmadan önce cgi_inputcheck() ve cgi_auth() olmak üzere iki kontrol gerçekleştirir. cgi_inputcheck() herhangi bir geçerli JSON verisi veya eksik yapılandırma dosyası için geçiş yaparken cgi_auth(), {“username”: “admin”, “profname”: “prof_admin”, “vdom”: “root”, “loginname”: “admin”} gibi yönetici kimlik bilgilerini içeren Base64 kodlu bir CGIINFO başlığı aracılığıyla kullanıcıların kimliğine bürünür.
Saldırganlar, prof_admin profilleri, tam güvenilir ana bilgisayar erişimi (0.0.0.0/0) ve özel parolalarla arka kapı hesapları oluşturmak için JSON veri yükleri sağlar ve böylece parolalar veya SSH anahtarları olmadan kalıcılık elde eder. Geçilen yola yapılan basit bir GET isteği, savunmasız sistemlerde HTTP 200’ü döndürür (yamalı sistemler 403’ü döndürür).
CVSS v3.1 temel puanı 9,1’dir (Kritik), düşük karmaşıklığı, gerekli ayrıcalıkların bulunmaması ve gizlilik, bütünlük ve kullanılabilirlik üzerindeki yüksek etkisi nedeniyle.
Etkilenen Sürümler
| FortiWeb Sürümü | Savunmasız Menzil | Sabit Sürüm |
|---|---|---|
| 8.0 | 8.0.0 – 8.0.1 | 8.0.2+ |
| 7.6 | 7.6.0 – 7.6.4 | 7.6.5+ |
| 7.4 | 7.4.0 – 7.4.9 | 7.4.10+ |
| 7.2 | 7.2.0 – 7.2.11 | 7.2.12+ |
| 7.0 | 7.0.0 – 7.0.11 | 7.0.12+ |
| 6.4 | <= 6.4.3 | Yok (EOL) |
| 6.3 | <= 6.3.23 | Yok (EOL) |
Göstergeler arasında python-urllib3 Kullanıcı Aracısı, CGIINFO başlıkları ve yönetici oluşturma verilerini içeren veriler içeren şüpheli POST istekleri yer alıyor.
Saldırganların Shodan benzeri sorgular yoluyla savunmasız ana bilgisayarları taramasıyla, Ekim ayında Defused Cyber’in ifşa etmesinden sonra istismar zirveye ulaştı.
CISA, Bilinen Yararlanılan Güvenlik Açıkları kataloğuna CVE-2025-64446’yı ekleyerek 21 Kasım 2025’e kadar federal düzeltmeyi zorunlu kıldı.
Fortinet, 8.0.2 gibi sürümlere kamuya duyurulmadan önce sessizce yama uyguladı ve ilk notlardaki ayrıntıları çıkardı. Öneri, geçici bir çözüm olarak ve yetkisiz yöneticiler için yükseltme sonrası günlük incelemeleri olarak internete bakan arayüzlerde HTTP/HTTPS’nin devre dışı bırakılmasını önermektedir. Yönetici erişiminin ötesinde herhangi bir RCE doğrulanmadı ancak güvenliği ihlal edilmiş WAF’ler, Fortinet ekosistemlerinde yanal hareketi riske atıyor.
watchTowr, GitHub’da istismar yapılarını hedef alan YARA/Sigma kuralları için bir Algılama Artefakt Oluşturucusu yayınladı.
Savunmacılar, proxy’lerdeki yeni yerel kullanıcıları, anormal fwbcgi günlüklerini ve geçiş URI’lerini araştırmalıdır. Devam eden kampanyalar sırasında anında yükseltmeler, ağ segmentasyonu ve yönetim arayüzleri için sıfır güven çok önemlidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
