Масови компрометирания на FortiWeb

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Десетки инстанции на Fortinet FortiWeb са били компрометирани чрез качване на уеб шелове, като се предполага, че атаките са извършени чрез използване на публично достъпни експлойти за наскоро закърпена уязвимост с дистанционно изпълнение на код (RCE), идентифицирана като CVE-2025-25257.

Информацията идва от платформата за мониторинг на заплахи The Shadowserver Foundation, която е засякла 85 инфектирани инстанции на 14 юли и 77 на следващия ден.

Какво представлява уязвимостта CVE-2025-25257?

CVE-2025-25257 е критична RCE уязвимост преди автентикация, базирана на SQL инжекция, засягаща следните версии на FortiWeb:

  • 7.6.0 – 7.6.3

  • 7.4.0 – 7.4.7

  • 7.0.0 – 7.0.10

Fortinet пусна пачове на 8 юли 2025 г., като препоръчва на потребителите да обновят до следните версии или по-нови:

  • 7.6.4

  • 7.4.8

  • 7.2.11

  • 7.0.11

Уязвимостта позволява на неавтентифицирани нападатели да изпълняват зловредни SQL команди чрез специално изготвени HTTP/HTTPS заявки, използвайки заглавки за авторизация.

Експлойти и активна експлоатация

На 11 юли, експлойтите за CVE-2025-25257 бяха публикувани публично от компанията WatchTowr и съавтора на откритието с псевдоним faulty_ptrrr. Методите демонстрират как чрез уязвимостта могат да бъдат поставяни уеб шелове или стартирани реверсивни шелове на уязвими устройства.

Атаката се осъществява чрез изпращане на SQLi заредена заявка към /api/fabric/device/status, която записва зловреден .pth файл в Python ‘site-packages’. След това чрез достъп до легитимен CGI скрипт на FortiWeb (/cgi-bin/ml-draw.py), кодът в .pth файла се изпълнява и се постига пълен RCE.

Засегнати системи и географско разпределение

Към момента:

  • Над 223 FortiWeb административни интерфейса са все още изложени публично.

  • Най-много компрометирани системи са отчетени в САЩ (40), следвани от Нидерландия (5), Сингапур (4) и Великобритания (4).

  • FortiWeb е широко използван от правителствени агенции, големи корпорации и MSSP доставчици като уеб приложение защитна стена (WAF).

Препоръки

  • Незабавно обновяване до защитена версия.

  • Ако това не е възможно: деактивирайте административния HTTP/HTTPS интерфейс, за да ограничите достъпа до уязвимия компонент /api/fabric/device/status.

#мрежова сигурност
По материали от Интернет

Подобни

Скритата бомба в индустрията
12.03.2026
power-station-374097_640
HPE поправя критични уязвимости в Aruba Networking AOS-CX
12.03.2026
u_ugwzfjap7f-ai-generated-8941370_640
Microsoft пусна мартенската ESU актуализация за Windows 10
11.03.2026
windows-10-1535765_1280
Microsoft пусна мартенския Patch Tuesday за Windows 11
11.03.2026
Windows_11_blur
Microsoft продължава работа по проблем с бели проблясъци във File Explorer
11.03.2026
windows-11-6377156_1280
ИИ агент започна самостоятелно криптомайнинг по време на обучение
10.03.2026
jcoope12-ai-generated-9054495_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.