Ujawniono krytyczną podatność w produktach Fortinet jednej z najbardziej zaufanych marek w dziedzinie zabezpieczeń sieciowych. Mowa o luce CVE‑2025‑25257, która umożliwia wykonanie zdalnego kodu (RCE) bez jakiejkolwiek autoryzacji użytkownika. Błąd występuje w module Fabric Connector urządzenia FortiWeb – stosowanego globalnie systemu do ochrony aplikacji webowych (WAF). Co istotne, exploit jest już publicznie dostępny i wyjątkowo łatwy w użyciu, co drastycznie zwiększa ryzyko ataków. W artykule przedstawiamy genezę problemu, sposób działania luki oraz najważniejsze środki zaradcze, jakie powinni wdrożyć administratorzy i zespoły bezpieczeństwa.
Czym jest CVE‑2025‑25257 i gdzie tkwi problem?
CVE‑2025‑25257 to podatność typu SQL injection, występująca w module integracji Fabric Connector. Luka umożliwia przesłanie spreparowanego żądania HTTP do nieautoryzowanego punktu końcowego /api/fabric/device/status, który przetwarza nagłówki Authorization: Bearer. Zamiast prawidłowego tokenu autoryzacyjnego atakujący może tam umieścić złośliwy kod SQL, który zostanie wykonany przez backend FortiWeb. To szczególnie groźne, ponieważ pozwala na pełną eskalację – od manipulacji bazą danych po całkowite przejęcie urządzenia.
Brak autoryzacji – otwarte drzwi dla atakującego
Jednym z najbardziej niepokojących aspektów tej podatności jest brak konieczności logowania się do systemu. W odróżnieniu od wielu innych luk, gdzie przynajmniej wymagana jest rola użytkownika z określonymi uprawnieniami, tutaj wystarczy dostęp do interfejsu HTTP urządzenia. To oznacza, iż każde urządzenie FortiWeb wystawione do Internetu bez odpowiedniego filtrowania lub ograniczeń IP może zostać w pełni przejęte. Nie jest wymagane żadne hasło, żaden login – wystarczy jedno odpowiednio spreparowane żądanie HTTP.
Od SQL injection do RCE – jak wygląda łańcuch ataku?
Specjaliści WatchTowr Labs , autorzy analizy podatności, pokazali, iż możliwe jest użycie klasycznego polecenia MySQL SELECT … INTO OUTFILE, aby zapisać plik .pth w katalogu, który automatycznie ładowany jest przez interpreter Pythona. Plik ten może zawierać złośliwy kod wykonywany automatycznie przy uruchomieniu określonego skryptu CGI (/cgi-bin/ml-draw.py). W ten sposób atakujący może uruchomić dowolny kod, w tym uzyskać reverse shell i pełny dostęp do systemu. Jest to mistrzowskie połączenie klasycznych technik ataku z wiedzą o specyfice działania FortiWeb i środowiska Python, w którym operuje.
Co czyni tę lukę wyjątkową?
Choć luka typu SQL injection nie jest nowością, jej wykorzystanie w tym przypadku – przez nagłówek HTTP Authorization, w połączeniu z możliwością zapisu plików .pth i automatycznym ich załadowaniem przez środowisko Python – stanowi bardzo nietypowy, a zarazem niezwykle skuteczny łańcuch ataku. To także rzadka sytuacja, w której system zaprojektowany do zapewniania bezpieczeństwa (FortiWeb jako WAF) sam staje się wektorem poważnego naruszenia bezpieczeństwa.
Ocena zagrożenia – maksymalna skala ryzyka
Eksperci jednoznacznie sklasyfikowali CVE‑2025‑25257 jako podatność na poziomie krytycznym, z oceną CVSS wynoszącą 9.8/10. Tak wysoka punktacja wynika z trzech czynników: atak możliwy jest zdalnie, bez autoryzacji, a jego skutkiem może być pełna kompromitacja systemu. W połączeniu z publicznie dostępnym kodem exploita oznacza to, iż podatność ta znajduje się na szczycie priorytetów do załatania dla każdej organizacji używającej FortiWeb.
Jakie wersje FortiWeb są zagrożone?
Fortinet potwierdził, iż luka występuje w wielu wersjach FortiWeb, zarówno z obecnej, jak i wcześniejszych gałęzi rozwojowych. Podatne są wersje:
- 7.6.0 do 7.6.3 (naprawione w 7.6.4),
- 7.4.0 do 7.4.7 (naprawione w 7.4.8),
- 7.2.0 do 7.2.10 (naprawione w 7.2.11),
- 7.0.0 do 7.0.10 (naprawione w 7.0.11).
Organizacje korzystające z tych wersji powinny niezwłocznie przeprowadzić aktualizację, choćby jeżeli wydaje się, iż urządzenie nie jest wystawione do sieci publicznej.
Publiczne exploity – czas reakcji jest kluczowy
Zaledwie kilka dni po ujawnieniu podatności w czerwcu 2025, badacze i społeczność open source opublikowali w pełni działające exploity, które krok po kroku przeprowadzają cały atak – od wysłania nagłówka HTTP po uruchomienie zdalnego kodu. Skrypty te są dostępne publicznie w serwisach takich jak GitHub czy Pastebin. Oznacza to, iż nie tylko zaawansowani hakerzy, ale także mniej doświadczeni cyberprzestępcy mogą z łatwością przeprowadzić skuteczny atak.
Wpływ na organizacje – tysiące podatnych urządzeń
Według analizy przeprowadzonej przez firmę Qualys w momencie upublicznienia exploita ponad 5 000 urządzeń FortiWeb było widocznych w Internecie i potencjalnie podatnych na atak. Dotyczy to zarówno instancji fizycznych, jak i wirtualnych, w tym wdrożeń chmurowych. W kontekście intensywnego wykorzystywania FortiWeb przez instytucje rządowe, sektory finansowe i duże korporacje, potencjalna skala szkód jest trudna do przecenienia.
Jak się zabezpieczyć?
Pierwszym i najważniejszym krokiem jest aktualizacja systemu FortiWeb do najnowszej wersji, zawierającej poprawki. o ile aktualizacja nie jest możliwa natychmiast, należy ograniczyć dostęp do interfejsów administracyjnych tylko do zaufanych adresów IP oraz tymczasowo wyłączyć HTTP/HTTPS, jeżeli nie są niezbędne. Warto również przeanalizować logi pod kątem nietypowych żądań do /api/fabric/device/status, a także monitorować katalogi Pythona i CGI pod kątem nieautoryzowanych zmian.
Dalsze środki ochrony – proaktywne działania
Oprócz bieżących działań naprawczych warto wdrożyć środki prewencyjne. Obejmują one m.in. segmentację sieci, wdrożenie systemów wykrywania anomalii, a także ograniczenie komunikacji z modułami Fabric Connector, jeżeli nie są wykorzystywane. Istotne jest także przeprowadzenie testów penetracyjnych po stronie wewnętrznej, by sprawdzić, czy ewentualny atakujący mógł osiągnąć dalszą eskalację uprawnień.
Co dalej? Wnioski na przyszłość
Organizacje muszą przyjąć, iż choćby najbardziej renomowane rozwiązania bezpieczeństwa mogą zawierać poważne błędy. Regularne aktualizacje, ograniczanie dostępu do urządzeń sieciowych, ciągły monitoring i analiza anomalii stają się absolutnym standardem, a nie tylko „dobrą praktyką”. CVE‑2025‑25257 pokazuje też, jak gwałtownie luka może być wykorzystana w środowisku produkcyjnym – liczy się każdy dzień.
Podsumowanie
CVE‑2025‑25257 to jedna z najpoważniejszych podatności wykrytych w urządzeniach klasy enterprise w 2025 roku. Publiczny exploit, łatwa dostępność i brak wymagań dotyczących uwierzytelnienia czynią z niej idealne narzędzie dla cyberprzestępców. jeżeli Twoja organizacja korzysta z FortiWeb – nie zwlekaj. Podejmij działania już teraz, zanim zrobi to ktoś inny.
