FortiWeb i CVE-2025-64446: krytyczne obejście uwierzytelniania przez lukę path traversal

Wprowadzenie do problemu / definicja

CVE-2025-64446 to krytyczna podatność w urządzeniach Fortinet FortiWeb, sklasyfikowana jako relative path traversal. Błąd dotyczy sposobu normalizacji ścieżek w żądaniach HTTP i HTTPS i może prowadzić do obejścia mechanizmów kontroli dostępu do interfejsów administracyjnych.

W praktyce oznacza to, iż atakujący bez wcześniejszego uwierzytelnienia może uzyskać dostęp do funkcji zarządzających, a następnie wykonywać operacje administracyjne na podatnym systemie. Ze względu na rolę FortiWeb jako zapory aplikacyjnej WAF, skutki takiego scenariusza mogą objąć nie tylko samo urządzenie, ale również bezpieczeństwo chronionych aplikacji i usług.

W skrócie

• Podatność dotyczy wielu wersji FortiWeb, w tym 8.0.0–8.0.1, 7.6.0–7.6.4, 7.4.0–7.4.9, 7.2.0–7.2.11 oraz 7.0.0–7.0.11.
• Luka umożliwia obejście uwierzytelniania i wykonywanie operacji administracyjnych przez odpowiednio przygotowane żądania HTTP lub HTTPS.
• Wektor ataku jest sieciowy, nie wymaga uprawnień ani interakcji użytkownika.
• Ocena CVSS v3.1 wynosi 9.8, co klasyfikuje problem jako krytyczny.
• Poprawione wydania to odpowiednio 8.0.2, 7.6.5, 7.4.10, 7.2.12 i 7.0.12 lub nowsze.

Kontekst / historia

FortiWeb jest rozwiązaniem WAF wykorzystywanym do ochrony aplikacji webowych i interfejsów API, często wdrażanym na styku Internetu i systemów o wysokiej wartości biznesowej. Właśnie dlatego każda podatność pozwalająca na przejęcie kontroli nad panelem administracyjnym powinna być traktowana priorytetowo.

Opis luki wskazuje, iż problem wynika z błędnej obsługi ścieżek i może prowadzić do obejścia uwierzytelniania. Publiczne informacje o podatności potwierdzają możliwość wykonywania komend administracyjnych na systemie, a jej obecność w katalogu Known Exploited Vulnerabilities dodatkowo podnosi poziom ryzyka operacyjnego. Dla organizacji oznacza to konieczność szybkiej oceny ekspozycji oraz wdrożenia działań naprawczych.

Analiza techniczna

Rdzeniem problemu jest niewystarczająca normalizacja ścieżek w obsłudze żądań do interfejsu WWW. W prawidłowo zaprojektowanym mechanizmie aplikacyjnym ścieżki przesyłane przez klienta powinny być przetwarzane w sposób eliminujący sekwencje umożliwiające wyjście poza dozwolony kontekst zasobów.

Jeżeli taki proces jest niepełny lub niespójny, możliwe staje się skierowanie żądania do endpointów, które normalnie powinny pozostać niedostępne bez wcześniejszego logowania. W przypadku CVE-2025-64446 skutkiem jest obejście kontroli dostępu do funkcji administracyjnych, co może otworzyć drogę do zmiany konfiguracji, przeglądu ustawień systemu lub wykonywania działań przewidzianych dla administratora.

Z perspektywy obrony szczególnie ważne jest to, iż luka dotyczy płaszczyzny zarządzania urządzeniem bezpieczeństwa. Kompromitacja takiego komponentu może przełożyć się na osłabienie polityk ochronnych, manipulację regułami inspekcji ruchu, zmianę ustawień certyfikatów, a także utrudnienie analizy incydentów poprzez wpływ na logi i konfigurację.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem wykorzystania podatności jest nieautoryzowany dostęp administracyjny do FortiWeb. Taki poziom dostępu może umożliwić modyfikację konfiguracji, wyłączenie lub osłabienie mechanizmów ochronnych, podgląd wrażliwych ustawień oraz zakłócenie działania chronionych usług.

Ryzyko rośnie szczególnie wtedy, gdy interfejs administracyjny jest wystawiony do Internetu. Ponieważ podatność nie wymaga uwierzytelnienia i może zostać wykorzystana zdalnie, powierzchnia ataku jest duża, a czas reakcji obrońców ma najważniejsze znaczenie. W praktyce przejęte urządzenie może stać się punktem dalszej eskalacji, źródłem rozpoznania infrastruktury lub elementem ułatwiającym ukrywanie innych działań przeciwnika.

W środowiskach produkcyjnych konsekwencje mogą obejmować również utratę integralności logów, błędne egzekwowanie polityk bezpieczeństwa oraz przerwy w dostępności usług. Dlatego zespoły bezpieczeństwa powinny traktować tę lukę nie tylko jako problem aktualizacyjny, ale również jako potencjalny incydent wymagający przeglądu śladów kompromitacji.

Rekomendacje

Podstawowym działaniem naprawczym jest aktualizacja do wersji poprawionych: 8.0.2+, 7.6.5+, 7.4.10+, 7.2.12+ lub 7.0.12+. Organizacje powinny w pierwszej kolejności zidentyfikować wszystkie instancje FortiWeb, zwłaszcza te dostępne z sieci publicznej, a następnie nadać im priorytet aktualizacji zależnie od ekspozycji i krytyczności chronionych aplikacji.

Jeżeli natychmiastowa aktualizacja nie jest możliwa, należy ograniczyć dostęp do interfejsu administracyjnego wyłącznie do zaufanych sieci zarządzających. Najbezpieczniejszym rozwiązaniem jest wyłączenie publicznie dostępnego HTTP/HTTPS dla funkcji administracyjnych oraz zastosowanie filtrowania ruchu z użyciem zapór sieciowych, list ACL i segmentacji sieci.

• Przeanalizować logi pod kątem nietypowych żądań do ścieżek administracyjnych.
• Sprawdzić anomalie w adresach URL oraz wzorce charakterystyczne dla path traversal.
• Zweryfikować zmiany konfiguracji wykonane w ostatnim czasie.
• Skontrolować konta administracyjne, polityki WAF i ustawienia dostępu zdalnego.
• Wdrożyć monitoring interfejsów zarządzających oraz dostęp przez VPN lub bastion administracyjny.
• Stosować MFA tam, gdzie jest dostępne, oraz regularnie audytować ekspozycję usług administracyjnych do Internetu.

W przypadku podejrzenia wykorzystania luki konieczna jest pełna analiza incydentowa, obejmująca ocenę zakresu zmian konfiguracyjnych i wpływu na chronione aplikacje. Samo załatanie urządzenia może nie wystarczyć, jeżeli wcześniej doszło do nieautoryzowanego dostępu.

Podsumowanie

CVE-2025-64446 pokazuje, iż podatności w płaszczyźnie zarządzania urządzeniami bezpieczeństwa mają wyjątkowo wysoki ciężar operacyjny. Błąd typu relative path traversal w FortiWeb może prowadzić do obejścia uwierzytelniania i wykonywania działań administracyjnych bez logowania, co bezpośrednio zwiększa ryzyko utraty kontroli nad warstwą ochrony aplikacyjnej.

Dla organizacji najważniejsze są szybkie aktualizacje, ograniczenie dostępu do panelu administracyjnego oraz weryfikacja, czy podatne systemy nie zostały już naruszone. W praktyce skuteczna reakcja powinna łączyć patch management, redukcję powierzchni ataku i dokładny przegląd śladów potencjalnej kompromitacji.

Źródła

1. Exploit Database – Fortinet FortiWeb v8.0.1 – Auth Bypass – https://www.exploit-db.com/exploits/52495
2. NVD – CVE-2025-64446 Detail – https://nvd.nist.gov/vuln/detail/CVE-2025-64446
3. CVE.org – CVE-2025-64446 – https://www.cve.org/CVERecord?id=CVE-2025-64446
4. CISA Known Exploited Vulnerabilities Catalog – CVE-2025-64446 – https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-64446