Így támadták meg a FortiWebet
Elsőként október 6-án tárták fel a problémát, miután a Defused nevű csoport bizonyítékkal szolgált egy működő támadási sémára. Egyes jelentések szerint a támadók egy HTTP POST kéréssel jutottak el egy speciális FortiWeb-végponthoz, amelyen keresztül saját adminisztrátori hozzáféréseket hoztak létre.
A biztonsági kutatók, például a watchTowr Labs, elemzésekkel és eszközökkel is segítik a védekezést, amelyek felismerik a sebezhető FortiWeb-verziókat. A Rapid7 megerősítette, hogy a hiba a FortiWeb 8.0.1 és korábbi verzióit érinti, de a 8.0.2-es frissítés telepítése után már nem kihasználható.
Mi történik most?
A Fortinet megerősítette: a hiba mostantól CVE-2025-64446 néven ismert, és a webes felületen keresztül lehetővé tette, hogy jogosulatlan támadók speciális HTTP- vagy HTTPS-kérésekkel adminisztrátori parancsokat futtassanak. A javítást október 28-án adták ki, három héttel az első támadások után.
Minden FortiWeb 8.0.0–8.0.1 verzió érintett, a megoldás a 8.0.2-re vagy újabb verzióra történő frissítés. Ugyanez vonatkozik a 7.6, 7.4, 7.2 és 7.0 főverziókra is; mindegyikhez részletes frissítési útmutatót adtak.
Sürgős intézkedések, újabb figyelmeztetés
Az amerikai CISA azonnali javításra kötelezte a szövetségi intézményeket, mert a hiba jelentős kockázatot jelent. Akik nem tudnak gyorsan frissíteni, azoknak azt javasolják, hogy az internet felől kapcsolják le a HTTP/S alapú menedzsmentfelületet, vagy korlátozzák megbízható hálózatokra.
Azt is javasolják, hogy minden érintett rendszerben ellenőrizzék az adminfiókokat és a váratlan módosításokat.
Augusztusban a Fortinet a FortiSIEM rendszert is javította egy hasonlóan súlyos hiba miatt, így a támadások sorozata komolyan fenyegeti a vállalat ügyfeleit.
