Fortinet ostrzega: nowa luka w FortiWeb (CVE-2025-58034) jest aktywnie wykorzystywana. Co z krytycznym CVE-2025-64446?

Wprowadzenie do problemu / definicja luki

19 listopada 2025 r. Fortinet potwierdził nową podatność w FortiWeb — CVE-2025-58034 — która jest już wykorzystywana w atakach. Błąd sklasyfikowano jako CWE-78 (command injection) i oceniono na CVSS 6.7 (średnia). Atak wymaga autoryzacji napastnika, ale pozwala wykonywać nieautoryzowane komendy systemowe poprzez spreparowane żądania HTTP lub komendy CLI. Fortinet wydał poprawki w najnowszych wydaniach FortiWeb i zaleca pilną aktualizację.

W skrócie

• Nowa luka: CVE-2025-58034 (command injection, CVSS 6.7) — aktywnie wykorzystywana. Wymaga autoryzacji.
• Wpływ: wykonanie poleceń OS na urządzeniu FortiWeb przez autoryzowanego atakującego.
• Wersje do aktualizacji (wg Fortinet/THN):
  • 8.0.0–8.0.1 → zaktualizuj do 8.0.2+
  • 7.6.0–7.6.5 → zaktualizuj do 7.6.6+
  • 7.4.0–7.4.10 → zaktualizuj do 7.4.11+
  • 7.2.0–7.2.11 → zaktualizuj do 7.2.12+
  • 7.0.0–7.0.11 → zaktualizuj do 7.0.12+
• Powiązana krytyczna luka: CVE-2025-64446 (path traversal, bez autoryzacji, wykorzystywana w atakach; naprawiona w 8.0.2; dodana do CISA KEV).

Kontekst / historia / powiązania

Zaledwie kilka dni wcześniej społeczność bezpieczeństwa nagłaśniała CVE-2025-64446 w FortiWeb, którą Fortinet naprawił w wersji 8.0.2. Ta luka umożliwia niezalogowanemu napastnikowi uruchamianie poleceń administracyjnych i tworzenie kont admina — stąd jej krytyczność i szybkie dodanie do katalogu CISA KEV. Dzisiejsze ogłoszenie o CVE-2025-58034 dokłada kolejny wektor, tym razem wymagający autoryzacji i klasyfikowany jako command injection. Organizacje powinny traktować oba problemy łącznie i planować skoordynowane działania naprawcze.

Analiza techniczna / szczegóły luki

CVE-2025-58034 (command injection)

• Mechanizm: niewłaściwa neutralizacja specjalnych znaków w kontekście wywołań systemowych (CWE-78).
• Warunek: napastnik musi być uwierzytelniony (np. przejęte konto, reuse haseł, inne luki łańcuchowe).
• Skutek: wykonanie komend OS na urządzeniu FortiWeb przez HTTP/CLI.
• Zakres wersji: 7.0.0–7.0.11, 7.2.0–7.2.11, 7.4.0–7.4.10, 7.6.0–7.6.5, 8.0.0–8.0.1.

CVE-2025-64446 (path traversal)

• Mechanizm: błąd typu relative path traversal (CWE-23) w komponentach GUI/CGI FortiWeb.
• Warunek: brak autoryzacji — atak możliwy z internetu.
• Skutek: możliwość wykonywania poleceń administracyjnych i dostęp do panelu/websocket CLI; przypadki tworzenia kont admina.
• Status: aktywnie wykorzystywana; wymagana aktualizacja; CISA KEV.

Praktyczne konsekwencje / ryzyko

• Lateral movement i trwałość: w obu przypadkach wykonanie komend OS może posłużyć do instalacji backdoorów, pivotu w sieci i kradzieży sekretów/API keys.
• Podmiana konfiguracji WAF: atakujący mogą wyłączyć reguły, dodać wyjątki, modyfikować polityki — co otwiera drogę do dalszych włamań przez aplikacje chronione przez FortiWeb.
• Ucieczka z wykrycia: z poziomu OS możliwe jest czyszczenie logów, modyfikacja syslog/forwardingu i ukrywanie aktywności.
• Ryzyko łańcuchowe: CVE-2025-58034 może być łączona z kradzieżą poświadczeń lub innymi błędami w celu eskalacji (np. przerzucenie się z autoryzowanego na uprzywilejowany kontekst).

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa aktualizacja FortiWeb do wersji 8.0.2 lub wyższej (dla gałęzi 8.0) oraz odpowiednio: 7.6.6+ / 7.4.11+ / 7.2.12+ / 7.0.12+. Priorytet dla urządzeń z GUI/HTTP wystawionym do internetu.
2. Ogranicz ekspozycję zarządzania: jeśli nie możesz patchować od razu, zablokuj HTTP/HTTPS na interfejsach zewnętrznych; dostęp administracyjny tuneluj przez VPN/SSH z allow-listą adresów.
3. Hunting po incydencie (post-patch):
   • przejrzyj logi systemowe i konfigurację pod kątem niespodziewanych zmian;
   • sprawdź nowe/zmodyfikowane konta admina, nieznane obiekty polityk i harmonogramy zadań;
   • porównaj sumy kontrolne plików krytycznych; zweryfikuj integralność obrazów/firmware.
4. Telemetria i detekcje: ustaw reguły na nietypowe żądania do GUI/CGI (CVE-2025-64446) i anomalie w CLI/websocket; monitoruj komendy systemowe wychodzące z FortiWeb.
5. Segmentacja i zasada najmniejszych uprawnień: ogranicz, do jakich zasobów FortiWeb ma dostęp (np. bazy sygnatur, repo backupów), aby ograniczyć skutki kompromitacji.

Różnice / porównania z innymi przypadkami

• Model ataku:
  • CVE-2025-58034 – wymaga autoryzacji, zatem często jest drugi etap łańcucha (po przejęciu konta).
  • CVE-2025-64446 – bez autoryzacji, może być wektorem wejściowym z internetu.
• Krytyczność: 6.7 vs 9.8 i dodanie do CISA KEV w przypadku 64446 (obowiązek szybkiego patchowania w instytucjach federalnych USA).
• Skutki ataku: obie luki prowadzą do wykonywania poleceń, ale 64446 łatwiej zautomatyzować i masowo skanować; 58034 zwiększa głębokość kompromitacji po uzyskaniu konta.

Podsumowanie / kluczowe wnioski

• Dwa równoległe zagrożenia dla FortiWeb — CVE-2025-58034 (auth RCE przez command injection) i CVE-2025-64446 (unauth path traversal → admin commands) — wymagają natychmiastowych aktualizacji.
• Priorytetyzuj 8.0.2+ (oraz odpowiednie wersje maintenance) i zamykanie publicznego zarządzania do czasu wdrożenia poprawek.
• Po aktualizacji wykonaj aktywny threat hunting i weryfikację konfiguracji, zwłaszcza kont administracyjnych.

Źródła / bibliografia

1. The Hacker News — ogłoszenie Fortinet/zakres wersji dla CVE-2025-58034 (19.11.2025). (The Hacker News)
2. GitHub Advisory — opis CVE-2025-58034 (CWE-78, wersje podatne). (GitHub)
3. HKCERT — biuletyn: CVE-2025-58034 wykorzystywana w atakach. (hkcert.org)
4. Rapid7 — analiza: CVE-2025-64446 (nieautoryzowane komendy, tworzenie kont admina, naprawa w 8.0.2). (Rapid7)
5. CISA KEV — wpis dla CVE-2025-64446 (status: exploited; wymagane terminy łatania). (CISA)