Fortinet FortiWeb: CISA daje tydzień na załatanie krytycznej luki CVE-2025-64446 (aktywnie wykorzystywanej)

Wprowadzenie do problemu / definicja luki

CISA dodała do katalogu KEV krytyczną podatność w Fortinet FortiWeb (WAF) — CVE-2025-64446 — i wyznaczyła agencjom federalnym USA 7 dni na wdrożenie poprawek lub zastosowanie mitigacji. Luka to relative path traversal / path confusion umożliwiająca niezalogowanemu atakującemu wykonanie poleceń administracyjnych poprzez odpowiednio spreparowane zapytania HTTP/HTTPS. Fortinet i CISA potwierdzają aktywną eksploatację tej podatności.

W skrócie

• Id CVE: CVE-2025-64446
• Wpływ: zdalne wykonanie poleceń jako admin / przejęcie urządzenia (pre-auth, bez uwierzytelnienia)
• Ocena ryzyka: CVSS 9.8 (Fortinet CNA)
• Produkty: FortiWeb w gałęziach 7.0, 7.2, 7.4, 7.6, 8.0 (konkretne wersje niżej)
• Eksploatacja: od października 2025 r.; dodawanie kont administratora obserwowane in-the-wild
• Termin CISA (FCEB): do 21 listopada 2025 r.
• Szybka mitigacja: czasowe wyłączenie HTTP/HTTPS na interfejsach wystawionych do Internetu, następnie aktualizacja do wydań naprawczych.

Kontekst / historia / powiązania

O luce zaczęto głośno mówić na początku października (wzmianki od społeczności i watchTowr), a 14 listopada 2025 r. Fortinet opublikował oficjalne PSIRT i nadano CVE-2025-64446. Tego samego dnia CISA dodała podatność do Known Exploited Vulnerabilities i wydała rzadko spotykane skrócenie terminu łatania do 7 dni (zwykle są to 3 tygodnie). Media branżowe wskazują, iż atakujący masowo tworzą nowe konta admina na niezabezpieczonych urządzeniach FortiWeb.

Analiza techniczna / szczegóły luki

• Klasa: CWE-23 (Relative Path Traversal / path confusion w GUI FortiWeb).
• Warunek: Brak uwierzytelnienia – podatność działa przed logowaniem.
• Efekt: możliwość wykonania poleceń administracyjnych przez manipulację ścieżką/trasowaniem żądań, co skutkuje pełną kontrolą nad urządzeniem.
• Wersje podatne (wg NVD/Fortinet):
  • 8.0.0–8.0.1, 7.6.0–7.6.4, 7.4.0–7.4.9, 7.2.0–7.2.11, 7.0.0–7.0.11.
• Wersje naprawcze (implikowane przez zakresy): 8.0.2, 7.6.5, 7.4.10, 7.2.12, 7.0.12 lub nowsze.
• CVSS (CNA Fortinet): 9.8 / AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Praktyczne konsekwencje / ryzyko

Przejęcie FortiWeb (WAF) daje atakującemu możliwość:

• utworzenia trwałych kont admina i wyłączenia logowania/monitoringu,
• modyfikacji reguł WAF (ukrycie dalszych ataków na aplikacje webowe),
• kradzieży poświadczeń/konfiguracji oraz pivotu do sieci wewnętrznej,
• przygotowania pod ransomware lub wyciek danych.
  Doniesienia o aktywnej eksploatacji i masowym tworzeniu kont potwierdzają pilność działań.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowy patch – zaktualizuj FortiWeb do 8.0.2 / 7.6.5 / 7.4.10 / 7.2.12 / 7.0.12 (lub nowszych). Zweryfikuj wynik patchowania.
2. Mitigacja tymczasowa (jeśli patch niezwłocznie niemożliwy): wyłącz HTTP/HTTPS na interfejsach wystawionych do Internetu; ogranicz dostęp administracyjny do zaufanych segmentów/VPN.
3. Hunting i IR:
   • sprawdź nietypowe konta admina dodane ostatnio; przejrzyj logi systemowe FortiWeb, integracje SIEM;
   • poszukaj nietypowych żądań HTTP/HTTPS wywołujących akcje administracyjne;
   • porównaj konfiguracje WAF/reguły pod kątem nieautoryzowanych zmian. (watchTowr udostępnił artefakty/detektory pomocne w identyfikacji).
4. Twardnienie ekspozycji:
   • ogranicz panel admina wyłącznie do sieci zarządzających (ACL/VPN),
   • włącz MFA dla dostępu administracyjnego,
   • segmentuj FortiWeb, monitoruj integracje z SIEM/EDR.
5. Zgodność z CISA KEV: jeżeli podlegasz BOD 22-01, dotrzymaj terminu 21.11.2025; inaczej przyjmij ten termin jako wewnętrzny SLA.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W 2023–2024 widzieliśmy serię poważnych błędów w urządzeniach perimeterowych (Fortinet, Ivanti, Citrix), ale skrócenie terminu przez CISA do 7 dni jest wyjątkowe i podkreśla skalę nadużyć. W przeciwieństwie do wielu poprzednich RCE wymagających uwierzytelnienia lub dostępu lokalnego, CVE-2025-64446 działa pre-auth i celuje w WAF, czyli element ochronny krytyczny dla aplikacji webowych.

Podsumowanie / najważniejsze wnioski

• To krytyczna, aktywnie wykorzystywana luka w FortiWeb.
• Patch teraz; jeżeli nie możesz — odłącz HTTP/HTTPS na interfejsach publicznych i zawęź dostęp administracyjny.
• Sprawdź konta admina i konfigurację WAF pod kątem zmian.
• Traktuj 21 listopada 2025 r. jako twardy termin na remediację.

Źródła / bibliografia

1. NVD – wpis CVE-2025-64446: opis, zakres wersji podatnych, metryka CVSS, data/due date w KEV. (NVD)
2. Fortinet PSIRT (FG-IR-25-910) – oficjalny advisory i klasyfikacja (path traversal/path confusion). (FortiGuard)
3. CISA – Known Exploited Vulnerabilities Catalog (pozycja dla CVE-2025-64446). (CISA)
4. Rapid7 – analiza i kontekst eksploatacji od października 2025 r. (Rapid7)
5. The Record – informacja o 7-dniowym terminie CISA, wskazówki i obserwacje dot. tworzenia kont admina. (The Record from Recorded Future)