11月14日資安業者Fortinet發布資安公告,指出旗下的網頁應用程式防火牆(WAF)系統FortiWeb,存在重大層級的資安漏洞CVE-2025-64446,該弱點出現於圖形使用者介面(GUI),為路徑遍歷漏洞,未經授權的攻擊者能透過特製的HTTP或HTTPS請求,於目標系統執行管理命令,CVSS風險為9.1分(但該漏洞在美國國家漏洞資料庫登記為9.8分)。該公司表示,此漏洞已被用於實際攻擊,呼籲IT人員應儘快套用新版軟體,若是無法及時升級,對於能透過網際網路存取的各種介面,在完成更新前應暫時停用HTTP或HTTPS連線因應。美國網路安全與基礎設施安全局(CISA)在Fortinet公告當天,也將其列入已遭利用的漏洞列表(KEV),要求聯邦機構限期一週內完成修補。
有資安新聞媒體指出,Fortinet察覺該漏洞的原因,源自其他資安業者一個月前發現的攻擊行動。 根據Bleeping Computer的報導,最早是10月6日威脅情報業者Defused透露,他們偵測到不尋常的漏洞利用活動,攻擊者透過JSON Web Token(JWT)有效酬載意圖建立管理者帳號,過程中利用未知的漏洞,疑似是CVE-2022-40684的變形。附帶一提的是,Defused將上述的有效酬載透過惡意軟體分析平臺VirusTotal進行檢測,所有95個防毒引擎皆認為無害。
後續有多家資安業者跟進調查此事,並於近日公布結果。資安業者PwnDefend與Defused聯手透露進一步的消息:攻擊者透過HTTP POST請求將有效酬載傳送到指定的URL端點,並用來建立使用者帳號;PwnDefend公布入侵指標(IoC),包含攻擊來源IP位址,以及攻擊者建立的使用者名稱與密碼。
資安業者Orange Cyberdefense也確認此漏洞遭到大規模利用的情況,並指出Fortinet已在8.0.2版、7.6.5版、7.4.10版,以及7.2.12版FortiWeb完成修補;資安業者Rapid7發現,有人在11月6日於駭客論壇兜售FortiWeb零時差漏洞,但他們無法確認是否就是CVE-2025-64446。
資安業者watchTowr對於攻擊者利用的弱點進行分析,指出該漏洞實際上由兩個部分組合而成,一個是出現在URI的路徑遍歷漏洞,另一個為HTTP請求標頭內容造成的身分驗證繞過漏洞。watchTowr特別提及Fortinet可能已掌握這項漏洞,根據watchTowr對近日發布的FortiWeb 8.0.2進行測試並分析相關程式碼,Fortinet已修補該漏洞,但並未在發行文件當中提及此事。watchTowr也透過影片展示概念驗證(PoC),他們在傳送有效酬載之後,就能成功登入FortiWeb。
熱門新聞
2025-12-24
2025-12-26
2025-12-29
2025-12-29
2025-12-26
