نقص بحرانی FortiWeb WAF فعالانه مورد سوءاستفاده قرار گرفته و امکان کنترل کامل مدیر را فراهم میکند
اخبار داغ فناوری اطلاعات و امنیت شبکه
شرکت Fortinet یک هشدار اضطراری در مورد آسیبپذیری بحرانی در محصول فایروال برنامه وب (WAF) خود، FortiWeb، صادر کرده است. مهاجمان در حال حاضر فعالانه از این نقص سوءاستفاده میکنند.
جزئیات آسیبپذیری و نفوذ
این نقص، که امکان تصرف کامل حساب مدیر را فراهم میکند، بسیار خطرناک تلقی میشود:
-
شناسه آسیبپذیری: CVE-2025-64446
-
محصول آسیبدیده: FortiWeb WAF (نسخههای ۸.۰، ۷.۶، ۷.۴، ۷.۲ و ۷.۰)
-
نوع آسیبپذیری: نقص کنترل دسترسی نامناسب در مؤلفه واسط گرافیکی کاربر (GUI) که به عنوان یک مشکل Relative Path Traversal طبقهبندی میشود (CWE-23).
-
امتیاز CVSS v3.1: ۹.۱ (بحرانی)
-
نحوه سوءاستفاده: مهاجمان احراز هویت نشده میتوانند درخواستهای مخرب HTTP یا HTTPS را ایجاد کنند که از مکانیزم احراز هویت عبور میکند. این امر به آنها اجازه میدهد تا دستورات مدیریتی را اجرا کرده و در نهایت حسابهای مدیر غیرمجاز ایجاد کنند و کنترل کامل دستگاه و پیکربندی آن را به دست گیرند.
-
وضعیت تهدید: تیم واکنش به حوادث امنیتی محصولات Fortinet (PSIRT) سوءاستفاده فعال در دنیای واقعی را تأیید کرده و خواستار وصله فوری است.
نسخههای آسیبدیده و توصیههای Fortinet
این آسیبپذیری مجموعهای از نسخههای FortiWeb را تحت تأثیر قرار میدهد:
| شاخه محصول | نسخههای آسیبدیده | نسخههای وصلهشده (Patch) |
| FortiWeb 8.0 | ۸.۰.۰ تا ۸.۰.۱ | ۸.۰.۲ یا بالاتر |
| FortiWeb 7.6 | ۷.۶.۰ تا ۷.۶.۴ | ۷.۶.۵ یا بالاتر |
| FortiWeb 7.4 | ۷.۴.۰ تا ۷.۴.۹ | ۷.۴.۱۰ یا بالاتر |
| FortiWeb 7.2 | ۷.۲.۰ تا ۷.۲.۱۱ | ۷.۲.۱۲ یا بالاتر |
| FortiWeb 7.0 | ۷.۰.۰ تا ۷.۰.۱۱ | ۷.۰.۱۲ یا بالاتر |
توصیه اقدامات فوری:
-
وصله فوری: فوراً به نسخههای وصلهشده (Patch) بهروزرسانی کنید.
-
راهحل موقت: به عنوان یک راهکار موقت، دسترسی HTTP یا HTTPS به مدیریت دستگاه را در رابطهای رو به اینترنت غیرفعال کنید. دسترسی مدیریتی باید صرفاً به شبکههای داخلی محدود شود.
-
بررسی پس از وصله: پس از بهروزرسانی، گزارشها و پیکربندی دستگاه را برای کشف هرگونه حساب مدیر غیرمنتظره یا تغییرات غیرمجاز بررسی کنید.
برچسب ها: Exploit, Fortinet, phishing, Anti-Phishing, Anti Ransomware, هکر, فیشینگ, بدافزار, FortiWeb, امنیت_سایبری