Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) издаде спешно предупреждение за критична уязвимост във Fortinet FortiWeb Web Application Firewall (WAF), която вече се използва активно от заплахи в реални атаки. Уязвимостта е добавена в каталога на Known Exploited Vulnerabilities (KEV) на 14 ноември 2025 г., като федералните агенции имат срок до 21 ноември да приложат корекции или да прекратят използването на засегнатите устройства.

Какво представлява уязвимостта?

Уязвимостта е регистрирана като CVE-2025-64446 и произтича от relative path traversal слабост (CWE-23), позволяваща на неавтентифицирани атакуващи да изпращат специално създадени HTTP/HTTPS заявки и да:

• изпълняват произволни административни команди

• заобикалят механизми за удостоверяване

• поемат пълен контрол над устройството

Това превръща защитната стена, предназначена да защитава уеб приложенията, в точка за вход на атакуващите.

Fortinet потвърждава в advisory FG-IR-25-910, че проблемът засяга множество версии на FortiWeb, включително инсталации с firmware:

• до 7.4.7

• до 7.6.5

Какви са рисковете?

Тъй като атаката не изисква автентикация, последствията са тежки:

• пълен компромис на системата

• ексфилтрация на конфиденциални данни

• внедряване на малуер

• възможност за последващи атаки в мрежата (lateral movement)

Изследователи съобщават, че уязвимостта се използва в атаки срещу организации във финансовия и здравния сектор – области, често таргетирани от APT групи и киберпрестъпници.

Експертен коментар

„Този path traversal бъг е класическа, но изключително опасна грешка в обработката на файлове,“ казва Мария Чен, изследовател на уязвимости.
„Неавтентифициран достъп до админ функции превръща WAF – устройство, което трябва да защитава – в задна врата за атакуващите.“

Препоръки от Fortinet и CISA

Fortinet призовава за незабавно обновяване към последните коригирани версии:

• 7.4.8

• 7.6.6

Допълнителни мерки:

• ограничаване на административния достъп чрез мрежова сегментация

• наблюдение за необичайни HTTP модели и неоторизирано изпълнение на команди

• изолиране на устройства, които не могат да бъдат пачнати

За облачни инстанции CISA напомня за спазване на Binding Operational Directive (BOD) 22-01, която изисква своевременно отстраняване на уязвимости в държавни системи.

Широк контекст: защо атаките срещу мрежови устройства се засилват

WAF устройства, VPN концентратори и firewalls отдавна са сред най-атрактивните цели за APT групи. Компрометиран мрежов appliance може да:

• предостави автономен достъп до вътрешната инфраструктура

• позволи внедряване на backdoor-и, които остават недетектирани

• подпомогне последващи атаки, включително ransomware кампании

Макар Fortinet да твърди, че по време на разследването не е установено изтичане на клиентски данни, експлоатацията на уязвимостта нараства, а непачнатите устройства остават високорискови.

С наближаващия срок за задължително пачване, организациите трябва да действат без отлагане. Забавяне в прилагането на корекции може да отвори път за атаки, които да компрометират ключова инфраструктура и да доведат до значителни щети.

Уязвимостта CVE-2025-64446 подчертава необходимостта от проактивно управление на уязвимости в ера, в която експлойтите се появяват все по-бързо, а атакуващите действат все по-агресивно.