Fortinet офіційно попередила про масову експлуатацію критичної 0‑day уразливості в веб‑аплікаційному файрволі FortiWeb. Помилка відстежується як CVE‑2025‑64446 і призводить до обходу автентифікації, коли віддалений неавторизований зловмисник може виконувати адміністративні дії через спеціально сформовані HTTP(S) запити. Виправлення було заздалегідь включене у версію FortiWeb 8.0.2, а публічні деталі розкрито після появи робочих експлойтів і сигналів від дослідників. Агентство CISA внесло ваду до каталогу Known Exploited Vulnerabilities (KEV), встановивши прискорені терміни усунення.
Хронологія атак та офіційні підтвердження
Команда Defused зафіксувала перші атаки ще 6 жовтня 2025 року. Нападники використовували запити з маніпуляціями шляху (помилково сприймалося як path traversal), щоб створювати локальні облікові записи з правами адміністратора на FortiWeb.
Після виходу патча 28 жовтня 2025 року у збірці FortiWeb 8.0.2 дослідники watchTowr Labs продемонстрували працездатний експлойт і опублікували утиліту для виявлення артефактів обходу автентифікації. Експерти Rapid7 підтвердили, що уразливі FortiWeb 8.0.1 та всі попередні версії, а після оновлення до 8.0.2 публічні прийоми атаки не працюють. 14 листопада 2025 року Fortinet надала технічну класифікацію вади як path confusion у GUI‑компоненті й підкреслила: «фіксується активна експлуатація в реальних інцидентах».
Попри початкові припущення щодо подібності до CVE‑2022‑40684, нова проблема отримала окремий ідентифікатор, оскільки механізм зловживання відрізняється.
Технічна суть: path confusion → обхід автентифікації
Path confusion — клас помилок, коли логіка маршрутизації та нормалізації URL у веб‑інтерфейсі хибно трактує послідовності шляху. У результаті запит може «вийти» за очікувані межі й потрапити до чутливих обробників, оминаючи перевірку доступу. У FortiWeb це трансформується в authentication bypass: спеціально сформований HTTP(S) запит приймається системою як адміністративна операція без знання пароля.
Чому це критично для WAF на периметрі
FortiWeb часто працює на мережевому периметрі, захищаючи веб‑додатки. Можливість створювати адмін‑акаунти і змінювати політики без автентифікації дає нападнику важелі для підміни правил, розгортання бекдорів та подальшого латерального руху в інфраструктурі. Ризик підсилюється наявністю публічних PoC‑експлойтів.
Уразливі версії, виправлення та тимчасові заходи
За підтвердженням Rapid7, уразливими є FortiWeb 8.0.1 і старші релізи. Оновлення до версії 8.0.2 блокує відомі вектори атаки та є пріоритетним кроком зниження ризику. Fortinet повідомляє про широкий вплив на інстальовану базу й настійно рекомендує невідкладне оновлення.
Якщо миттєвий апгрейд неможливий, виробник надає тимчасові заходи пом’якшення в бюлетені безпеки. Рекомендації слід звіряти з офіційною документацією, оскільки вони залежать від топології та політик доступу.
Як виявити ознаки компрометації та посилити захист
Адміністраторам варто перевірити журнали на предмет нестандартних POST‑запитів до адміністративних API з аномальними параметрами шляху, а також аудіювати створення/зміну локальних адмін‑обліковок і відхилення від базової конфігурації політик.
Опублікований watchTowr Labs інструмент допомагає виявляти артефакти обходу автентифікації. Додатково рекомендується: обмежити мережевий доступ до GUI (IP‑allowlist, VPN), увімкнути MFA там, де можливо, посилити моніторинг та алертинг за подіями адміністрування, а після оновлення виконати ротацію паролів і ключів доступу.
З огляду на включення CVE‑2025‑64446 до CISA KEV і припис для федеральних відомств США усунути ваду до 21 листопада 2025 року, організаціям усіх секторів варто трактувати інцидент як пріоритет високої терміновості: оперативно оновитися до 8.0.2, провести заглиблену перевірку на компрометацію та ввести додаткові контролі доступу до керівних інтерфейсів.
Швидке оновлення до FortiWeb 8.0.2 у поєднанні з ретельним аналізом журналів, обмеженням доступу до адмін‑панелей і впровадженням MFA суттєво знижує ризики. Підтримуйте актуальність WAF, звіряйтеся з CISA KEV і бюлетенями виробника, а також впроваджуйте безперервний моніторинг — це базис, що дозволяє мінімізувати вікно вразливості під час хвиль активної експлуатації 0‑day.
