Fortinet официально предупредила о массовой эксплуатации критической 0‑day уязвимости в веб‑аппликационном файрволе FortiWeb. Проблема получила идентификатор CVE‑2025‑64446 и позволяет неаутентифицированным злоумышленникам выполнять административные действия через специально сформированные HTTP(S) запросы. Патч был выпущен заблаговременно в версии FortiWeb 8.0.2, а публичные детали раскрыты позже на фоне появления рабочих эксплоитов и сигналов от исследователей. Агентство CISA добавило уязвимость в каталог KEV и предписало ускоренное устранение.
Хронология инцидента и подтвержденная эксплуатация
По данным исследовательской команды Defused, первые атаки на 0‑day были замечены 6 октября 2025 года. Злоумышленники использовали технику, первоначально воспринятую как path traversal, чтобы создавать новые локальные учетные записи с правами администратора на FortiWeb.
Ключевым артефактом атак стали специально сформированные HTTP POST‑запросы к эндпоинту /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi. Эта последовательность позволяла обойти проверку путей и инициировать административные операции без знания пароля. Исследователи предполагали связь с ранее известной проблемой CVE‑2022‑40684, однако текущая уязвимость получила отдельный идентификатор.
28 октября 2025 года Fortinet выпустила FortiWeb 8.0.2, устраняющую проблему, но без публичных технических подробностей. В конце следующей недели watchTowr Labs продемонстрировали рабочий эксплоит и опубликовали инструмент FortiWeb Authentication Bypass Artifact Generator для поиска компрометации.
Аналитики Rapid7 подтвердили, что уязвимость затрагивает FortiWeb 8.0.1 и более ранние версии, а опубликованные эксплоиты перестают работать после обновления до 8.0.2. 14 ноября 2025 года Fortinet официально раскрыла детали, классифицировав баг как path confusion vulnerability в GUI‑компоненте FortiWeb и предупредила: «Fortinet наблюдает активную эксплуатацию этой уязвимости в реальных атаках».
Техническая сущность CVE‑2025‑64446 и вектор атаки
Path confusion — класс ошибок, при которых механизм маршрутизации/нормализации путей в веб‑интерфейсе интерпретирует последовательность URL некорректно. В результате часть запросов может «выходить» за ожидаемые границы и попадать в чувствительные обработчики. В контексте FortiWeb это трансформируется в authentication bypass: удаленный злоумышленник формирует HTTP(S) запросы так, что система принимает их как административные операции.
Почему это критично для WAF на периметре
FortiWeb часто располагается на сетевом периметре, обрабатывая трафик к веб‑приложениям. Возможность создавать админ‑аккаунты и выполнять команды без пароля существенно усиливает последствия: от подмены политик до внедрения бэкдоров и дальнейшей латеральной экспансии. Риск усугубляется доступностью PoC‑эксплоитов.
Затронутые версии и исправление уязвимости
По подтверждению Rapid7, уязвимы FortiWeb 8.0.1 и более ранние релизы. Обновление до версии 8.0.2 блокирует публично доступные эксплоиты и является приоритетной мерой снижения риска. Fortinet сообщает о широком охвате затронутых сборок и рекомендует немедленное обновление.
Для организаций, которые не могут обновиться мгновенно, Fortinet указывает на временные меры смягчения в своем бюллетене безопасности. Детали и актуальные рекомендации следует сверять с официальной документацией производителя.
Как проверить компрометацию и повысить устойчивость
Администраторам FortiWeb рекомендуется целенаправленно просканировать журналы на наличие подозрительных POST‑запросов к цепочке /api/v2.0/cmdb/…/../../../../../cgi-bin/fwbcgi, проверить историю создания и изменения локальных администраторских аккаунтов, а также сверить целостность конфигурации.
Поскольку watchTowr Labs опубликовали инструмент для выявления артефактов обхода аутентификации, его использование может ускорить инцидент‑респонс. Дополнительно целесообразно: ограничить доступ к админ‑GUI по сети (IP‑листинг, VPN), включить многофакторную аутентификацию там, где возможно, усилить мониторинг и алертинг, а также провести ротацию учетных данных и ключей доступа после обновления.
Учитывая включение CVE‑2025‑64446 в CISA Known Exploited Vulnerabilities (KEV) и предписание федеральным ведомствам США устранить проблему до 21 ноября 2025 года, организациям вне зависимости от отрасли следует трактовать уязвимость как приоритет высокой срочности: оперативно обновиться до 8.0.2, проверить признаки компрометации и внедрить дополнительные меры контроля доступа к управляющим интерфейсам.
