Kritikus FortiWeb hiba, ami a védelmi vonalat nyitja meg
Az amerikai CISA (Cybersecurity and Infrastructure Security Agency) sürgős figyelmeztetést adott ki egy kritikus sérülékenység miatt a Fortinet FortiWeb Web Application Firewall (WAF) termékében.
A FortiWeb világszerte használt, vállalati webalkalmazásokat védő biztonsági eszköz – most viszont épp ez a védelmi réteg vált támadási felületté: a hiba lehetővé teszi, hogy támadók adminisztratív hozzáférést szerezzenek a készülékhez, mindenféle előzetes hitelesítés nélkül.
A sérülékenység azonosítója: CVE-2025-64446
Típus: relative path traversal (CWE-23) – rosszul kezelt elérési út, amit speciálisan felépített HTTP/HTTPS kérésekkel lehet kihasználni.
A CISA november 14-én felvette a hibát a Known Exploited Vulnerabilities (KEV) katalógusba, és november 21-i határidővel kötelező javítást írt elő az amerikai szövetségi ügynökségek számára.
Mely FortiWeb verziók érintettek?
A Fortinet FG-IR-25-910 számú biztonsági közleménye szerint a hiba több FortiWeb verziót érint, többek között:
- FortiWeb 7.4.7-ig bezárólag
- FortiWeb 7.6.5-ig bezárólag
A Fortinet által kiadott javított verziók:
- FortiWeb 7.4.8
- FortiWeb 7.6.6
Bár a folt már elérhető, minden olyan szervezet veszélyben van, amely még nem frissített ezekre a verziókra – a támadók pedig már aktívan kihasználják a hibát.
Miért különösen veszélyes, ha biztonsági eszköz sérülékeny?
Tűzfalak, VPN-gatewayek, WAF rendszerek az utóbbi években kiemelt célponttá váltak:
- a hálózat peremén ülnek,
- gyakran magas jogosultságokkal és széles rálátással a forgalomra,
- sok helyen kritikus alkalmazásokat és érzékeny adatokat védenek.
Ha egy ilyen eszközben authentikáció nélküli hiba van, akkor:
„a legerősebb védelmi réteg egyetlen lépéssel támadási kapuvá válhat.”
A mostani path traversal hiba pontosan ezt teszi lehetővé:
- hitelesítés megkerülése,
- adminisztratív parancsok távoli futtatása,
- a támadó:
- kikapcsolhatja vagy módosíthatja a védelmi szabályokat,
- adatokat szivárogtathat,
- tartós kártevőt telepíthet,
- mélyebbre juthat a belső hálózatban (pivot, laterális mozgás).
Aktív kihasználás pénzügyi, egészségügyi és hosting szektorban
Bár a Fortinet és a CISA nem nevezett meg konkrét támadócsoportot, független kutatók szerint:
- már történt visszaélés pénzügyi szervezeteknél,
- egészségügyi intézményeknél,
- valamint menedzselt hosting szolgáltatóknál.
Ezekben a környezetekben a FortiWeb tipikusan:
- ügyféloldali, internetre néző webalkalmazásokat véd,
- nagy forgalmat kezel,
- gyakran üzletkritikus szolgáltatások mögött fut.
A szakértők szerint a KEV-listára kerülés után:
- megugrik az exploit-próbálkozások száma,
- a támadók szisztematikusan szkennelik az internetet,
- és azokra a szervezetekre lőnek, ahol a foltozás lassabban halad.
Szövetségi ügynökségek: kötelező határidő, szigorú elvárások
Az amerikai szövetségi szerveknek a Binding Operational Directive (BOD) 22-01 szerint:
- kötelező a sérülékeny rendszereket javítani vagy kivezetni a CISA által megadott határidőig,
- a november 21-i dátum után minden nem javított FortiWeb komoly kockázatot jelent a kormányzati hálózatokban.
A CISA emellett azt javasolja minden szervezetnek (nem csak kormányzati):
- adminisztratív hozzáférés korlátozása:
- csak szegmentált hálózatból,
- vagy VPN-en keresztül legyen elérhető a FortiWeb admin felület,
- részletes naplózás bekapcsolása,
- rendszeres log-elemzés ismeretlen adminisztratív aktivitásra,
- cloud-deployment esetén:
- hozzáférési logok, váratlan kérések, outbound kapcsolatok folyamatos monitorozása.
Akik nem tudnak azonnal frissíteni, azoknak:
- a sérülékeny eszközt izolálniuk kell a szélesebb hálózattól,
- szorosan figyelniük kell a forgalmat és az admin-eseményeket,
- és incidensgyanú esetén azonnal lépniük (forensic, containment, jelszó- és kulcscsere).
Tanulság: a „perem-eszközök” sebezhetősége kritikus kockázat
Az eset újra rámutat egy régóta növekvő problémára:
A hálózati peremen működő biztonsági eszközökben sorra bukkannak fel távolról kihasználható hibák, gyakran hitelesítés nélkül.
Fő nehézségek a szervezetek oldalán:
- régi hardverek és firmware-ek,
- összetett, üzletkritikus konfigurációk,
- magas uptime-elvárás – „nem lehet csak úgy újraindítani”,
- emiatt a patch-elés csúszik,
- és a „hardveres biztonsági eszköz” könnyen technikai adóssággá válik.
A szakértők szerint:
- a vendorok ugyan gyorsabban adnak ki javításokat,
- de a szervezeteknek is fel kell gyorsítaniuk a saját patch-folyamataikat,
- különösen az edge-eszközökön, amelyek egy kompromittált esetben:
- pivotpontként,
- vagy ransomware-láncok belépési pontjaként szerepelhetnek.
Versenyfutás az idővel
Ahogy közeledik a november 21-i határidő, a kormányzati és piaci szereplők:
- gyorsított ütemben telepítik a Fortinet által kiadott javításokat,
- felülvizsgálják a hozzáférési szabályokat és a naplózást,
- próbálják minimalizálni a kiesést, miközben zárják a rést.
A Fortinet azt közölte, hogy:
- saját belső vizsgálata során nem talált bizonyítékot ügyféladat-szivárgásra,
- ugyanakkor nem közölte, pontosan ki fedezte fel a hibát,
- és azt sem, hogy az első támadásokat ügyfelek jelezték-e.
A valóság azonban egyszerű:
- a sebezhetőség már kihasználás alatt áll,
- a támadók számára a „biztonságos késlekedési ablak” gyakorlatilag bezárult,
- minden nem frissített FortiWeb nyitott ajtó lehet egy nagyobb támadási láncban.
Konklúzió
A FortiWeb CVE-2025-64446 sebezhetősége élesen rávilágít:
- a biztonsági eszközök biztonsága kritikus – nem vehető adottnak,
- egyetlen path traversal hiba is elég, hogy:
- az élen álló WAF-ból
- teljes admin-jogú támadási platform legyen.
Egy olyan korszakban, ahol:
- a zero-day exploitok egyre inkább „árucikké” válnak,
- a támadók pedig minden eddiginél gyorsabban reagálnak a nyilvános advisories-ra,
a legfontosabb üzenet:
a peremeszközök gyors patch-elése, szigorú szegmentálása és aktív monitorozása nélkül nincs valódi kiberreziliencia.
