Metasploit Çerçevesi, Fortinet’in FortiWeb Web Uygulaması Güvenlik Duvarındaki (WAF) kritik güvenlik açıklarını hedef alan yeni bir yararlanma modülünü tanıttı.
Bu modül, kök ayrıcalıklarıyla kimliği doğrulanmamış Uzaktan Kod Yürütme (RCE) elde etmek için yakın zamanda açıklanan iki kusur olan CVE-2025-64446 ve CVE-2025-58034’ü zincirliyor.
Bu sürüm, “sessiz yamalar” ve birçok cihazı açıkta bırakan müteakip bypass’lar da dahil olmak üzere, vahşi ortamda aktif istismar raporlarının ardından geldi.
Sömürü Zinciri
Exploit/linux/http/fortinet_fortiweb_rce olarak tanımlanan yeni modül, rastgele işletim sistemi komutlarını çalıştırmadan önce kimlik doğrulama mekanizmalarını atlayan karmaşık bir saldırı zincirini otomatikleştiriyor.
Saldırı, CVSS puanı 9,1 olan kritik bir kimlik doğrulama atlama güvenlik açığı olan CVE-2025-64446 ile başlıyor. WatchTowr’daki araştırmacılar tarafından analiz edildiği üzere, bu kusur, CGIINFO başlığının hatalı kullanımıyla birlikte bir yol geçiş sorunu içeriyor.
Kimliği doğrulanmamış bir saldırgan, bu başlığı değiştirerek ve fwbcgi yürütülebilir dosyasına geçerek yerleşik yönetici kullanıcısının kimliğine bürünebilir ve geçerli kimlik bilgileri olmadan yeni bir yönetici hesabı oluşturabilir.
Yönetici erişimi sağlandıktan sonra modül, temel sistemi tehlikeye atmak için CVE-2025-58034’ten yararlanır. Bu ikinci güvenlik açığı, FortiWeb API ve CLI’de bulunan ve işletim sistemi komutlarındaki özel öğelerin düzgün şekilde etkisiz hale getirilmediği, kimliği doğrulanmış bir komut ekleme hatasıdır.
Rapid7 analizi, bu kusurun, kimliği doğrulanmış bir kullanıcının amaçlanan kabuk kısıtlamalarından kaçmasına ve kök kullanıcı olarak komutları yürütmesine olanak sağladığını doğrulamaktadır. Metasploit modülü, bu iki sorunu zincirleyerek harici bir saldırganın sıfır erişimden saniyeler içinde tam sistem kontrolüne geçmesine olanak tanır.
Metasploit modülü farklı saldırı senaryolarına karşı esnek olacak şekilde tasarlanmıştır. Varsayılan modunda, rastgele bir yönetici hesabı sağlamak için kimlik doğrulama atlamasından (CVE-2025-64446) otomatik olarak yararlanır.
Daha sonra komut enjeksiyonunu tetiklemek için bu yeni kimlik bilgileriyle kimlik doğrulaması yapar. Alternatif olarak, saldırganın zaten geçerli kimlik bilgileri varsa modül, atlama aşamasını atlayacak ve doğrudan CVE-2025-58034’ten yararlanacak şekilde yapılandırılabilir.
Teknik olarak istismar, yükünü iletmek için parçalı bir yükleme mekanizması kullanıyor. Çekme isteği belgelerinde görüldüğü gibi modül, birleştirmeden ve çalıştırmadan önce birden çok parça halinde (örneğin 4 parça) bir “önyükleme verisi” yükler.
Bu yöntem, cihazın kısıtlı ortamında bile güvenilir uygulama sağlar. Başarılı bir şekilde yararlanma, saldırgana WAF cihazı üzerinde tam kontrol sağlayan uid=0(root) değerine sahip bir kabuk sağlar.
Fortinet bu güvenlik açıklarını gidermek için yamalar yayınladı ve kullanıcıların derhal FortiWeb 8.0.2 veya sonraki bir sürümüne yükseltmeleri şiddetle tavsiye ediliyor.
CVE-2025-64446, hileli yöneticilerin sessizce oluşturulmasına izin verdiğinden, güvenliği tehlikeye atılmış cihazlar için yalnızca yama uygulamak yeterli değildir. Güvenlik ekipleri, bilinmeyen hesaplar için kullanıcı listelerini denetlemeli ve /api/v2.0/cmdb/system/admin’e güvenilmeyen IP adreslerinden gelen istekler için günlükleri incelemelidir.
| CVE Kimliği | Güvenlik Açığı Türü | CVSS | Etkilenen Ürünler (Kısmi Liste) |
|---|---|---|---|
| CVE-2025-64446 | Kimlik Doğrulama Atlaması / Yol Geçişi | 9.1 | FortiWeb 7.4.0-7.4.4, 7.6.0-7.6.4, 8.0.0-8.0.1 |
| CVE-2025-58034 | İşletim Sistemi Komut Ekleme | 7.2 | FortiWeb 8.0.0-8.0.1 |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
