CISA dodaje krytyczną lukę Fortinet FortiWeb do katalogu KEV

Krytyczna podatność FortiWeb jest już wykorzystywana w atakach. CISA wymaga pilnych działań zabezpieczających do 21 listopada.

CISA wpisała nową podatność Fortinet FortiWeb (CVE-2025-64446, CVSS 9.1) do katalogu Known Exploited Vulnerabilities. Luka — relative path traversal — pozwala atakującemu na wykonanie poleceń administracyjnych na urządzeniu za pomocą spreparowanych żądań HTTP/HTTPS. Fortinet potwierdza aktywne wykorzystanie błędu.

Co wiadomo o luce?

Problem dotyczy FortiWeb w wersjach 8.0.0–8.0.1, 7.6.0–7.6.4, 7.4.0–7.4.9, 7.2.0–7.2.11 oraz 7.0.0–7.0.11. Atakujący może przejąć kontrolę, wywołując komendy administracyjne bez uwierzytelnienia. Fortinet zaleca wyłączenie HTTP/HTTPS na interfejsach wystawionych do internetu do czasu aktualizacji.

Zgodnie z BOD 22-01, wszystkie federalne agencje USA muszą załatać systemy do 21 listopada 2025 r. Rekomendacja dotyczy również firm prywatnych — podatność pojawiła się już w realnych kampaniach.

Badacze ostrzegają także przed osobną podatnością typu authentication bypass w FortiWeb, naprawioną dopiero w wersji 8.0.2. Po opublikowaniu PoC przez Defused oraz watchTowr Labs pojawiły się pierwsze masowe próby tworzenia kont administratora przez atakujących.

W widocznych w sieci próbach pojawiają się stałe dane logowania, m.in.:

  • Testpoint / AFodIUU3Sszp5
  • trader1 / 3eMIXX43
  • test1234point / AFT3$tH4ck

Ataki polegają na wysyłaniu specjalnie przygotowanego POST-requestu tworzącego nowe konto administratora.

Źródło:
Security Affairs

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps