هشدار امنیتی: آسیب‌پذیری بحرانی Fortinet FortiWeb (CVE‑2025‑64446) – در حال بهره‌برداری فعال

در هفته‌های اخیر، یک آسیب‌پذیری بحرانی روز صفر با شناسه CVE‑2025‑64446 در Fortinet FortiWeb منتشر شده است که گزارش‌ها نشان می‌دهند هکرها در طبیعت (in-the-wild) آن را بالفعل می‌کنند. این نقص ورود مسیر (relative path traversal) به مهاجم اجازه می‌دهد بدون احراز هویت، از طریق درخواست‌ HTTP/HTTPS دستورات مدیریتی را روی دستگاه خراب اجرا کند و به کنترل کامل آن دست یابد.

تحلیل فنی و ساختاری CVE‑2025‑64446 در FortiWeb

ابتدا باید ساختار فنی آسیب‌پذیری را بررسی کنیم. این ضعف در رابط مدیریتی (GUI) FortiWeb قرار دارد و از اعتبارسنجی نامناسب مسیرهای فایل‌ها سوءاستفاده می‌شود. در نتیجه، یک کاربر مهاجم می‌تواند مسیرهای «نسبی» (بدون پیش‌فرض ریشه) را ارسال کند و به فایل‌های سیستمی یا دستورات ادمین دسترسی یابد.

مشخصات فنی

• نوع آسیب‌پذیری: Relative Path Traversal (CWE‑23)

• سطوح آسیب‌پذیر:

  • FortiWeb نسخه‌ 8.0.0 تا 8.0.1

  • FortiWeb 7.6.0 تا 7.6.4

  • FortiWeb 7.4.0 تا 7.4.9

  • FortiWeb 7.2.0 تا 7.2.11

  • FortiWeb 7.0.0 تا 7.0.11

• امتیاز CVSS: اکثر منابع امتیاز 9.8 (بحرانی) را گزارش داده‌اند.

• برد حمله: شبکه (Network) — از راه HTTP/HTTPS قابل سوءاستفاده است.

• نیاز به احراز هویت: هیچ (Unauthenticated)

جزئیات بهره‌برداری و تاکتیک‌های مهاجمان

مهاجمان ابتدا درخواست‌های جعلی HTTP یا HTTPS می‌سازند که حاوی مسیرهای خاصی هستند تا مسیر traversal را تحریک کنند. سپس، آن‌ها دستورات مدیریتی سیستم را اجرا می‌کنند، حساب‌های ادمین جدید ایجاد می‌نمایند، یا از طریق WebSocket CLI کنترل کامل سیستم را به‌دست می‌آورند. طبق گزارش شرکت PT‑Security، آ‌ن‌ها توانسته‌اند حساب‌های ادمین مخفی بسازند و تغییرات پیکربندی را به‌صورت مداوم اعمال کنند.

از سوی دیگر، مرکز امنیت سایبری کانادا (Cyber Centre) در هشدار AL25‑017 اعلام کرده است که این آسیب‌پذیری می‌تواند منجر به دسترسی ریشه (root) روی دستگاه شود.

خطرات و پیامدهای عملی برای سازمان‌ها

این آسیب‌پذیری می‌تواند پیامدهای زیر را به همراه داشته باشد:

1. تصاحب کامل دستگاه FortiWeb
   هکرها می‌توانند حساب ادمین ایجاد کرده یا اجرای فرمان مدیریتی را انجام دهند، بنابراین کنترل کامل پلتفرم را به دست بگیرند.

2. نشت داده و اختراق سرورهای بک‌اند
   اگر FortiWeb به عنوان نقطه جلویی برای برنامه‌های وب استفاده شود، مهاجم ممکن است ترافیک را هدایت کند، خطاها را سوءاستفاده نماید یا حتی داده‌ها را استخراج کند.

3. حرکت جانبی در شبکه
   پس از به‌دست آوردن کنترل FortiWeb، مهاجم می‌تواند به شبکه داخلی نفوذ کند و زیرساخت‌های حساس‌تر را هدف قرار دهد.

4. ایجاد پایداری (Persistence)
   مهاجم‌ها می‌توانند حساب‌های مخفی ایجاد کنند یا WebSocket CLI را دستکاری کنند تا حضور خود را حفظ کنند.

5. خطرات زنجیره‌ای در محیط‌های ترکیبی
   در سازمان‌هایی که FortiWeb را همراه با ابزارهای مانیتورینگ یا گزارش‌گیری (مثل Zabbix) استفاده می‌کنند، تغییر در لاگ‌ها یا پیکربندی می‌تواند منجر به حوادث cascading شود.

راهکارهای توصیه‌شده (Mitigation) و مراحل فوری

برای کاهش خطر ناشی از CVE‑2025‑64446، باید اقدامات زیر را prioritise کنید:

1. پچ‌گذاری فوری

   • ارتقا به نسخه‌های امن توصیه‌شده: FortiWeb 8.0.2+، 7.6.5+، 7.4.10+، 7.2.12+ و 7.0.12+.

   • به‌روزرسانی طبق راهنمایی رسمی Fortinet در advisories آن‌ها (مثلاً FG‑IR‑25‑910).

2. محدود کردن دسترسی رابط مدیریتی

   • از دسترسی HTTP/HTTPS از شبکه‌های عمومی جلوگیری کنید.

   • فقط آدرس‌های IP داخلی یا آدرس‌های مشخص قابل‌اعتماد را به رابط مدیریت دسترسی دهید.

3. مانیتورینگ و تشخیص فعالیت مخرب

   • از ابزارهای SIEM (مانند Splunk، ELK) برای شناسایی دستورات غیرعادی یا تلاش‌های غیرقانونی استفاده کنید.

   • لاگ‌های سیستم و لاگ‌های مدیریتی FortiWeb را به‌صورت منظم بررسی کنید تا نشانه‌های ایجاد حساب جدید یا تغییر پیکربندی را شناسایی نمایید.

4. پاسخ به حادثه و شکار تهدید (Threat Hunting)

   • تیم IR (Response) باید به دنبال شاخص‌های بهره‌برداری مانند فراخوانی مسیرهای traversal یا ورود WebSocket CLI باشد.

   • اگر شواهدی از نفوذ دیده شد، فوراً اقدام به پاک‌سازی و بازسازی دستگاه کنید.

5. تقسیم‌بندی شبکه (Network Segmentation)

   • FortiWeb را در یک بخش جداگانه از شبکه قرار دهید تا در صورت نفوذ، دامنه آسیب کاهش یابد.

   • پالیسی‌های فایروال و ACL را به‌گونه‌ای تنظیم کنید که تنها ترافیک مورد نیاز به رابط مدیریت اجازه عبور دهد.

جمع‌بندی و توصیه نهایی

با توجه به این‌که CVE‑2025‑64446 به‌صورت رسمی توسط CISA و مراکز امنیتی دیگر تأیید شده و شواهد بهره‌برداری فعال وجود دارد، این آسیب‌پذیری یک تهدید واقعی برای هر سازمانی است که از FortiWeb استفاده می‌کند. اگر شما مدیر امنیت یا مسؤول زیرساخت هستید، باید فوراً:

• وضعیت نسخه FortiWeb خود را بررسی کرده،

• پچ‌ها را اعمال کنید،

• دسترسی مدیریتی را محدود نمایید،

• مانیتورینگ را تشدید کنید،

• و در صورت نیاز، شکار تهدید را آغاز نمایید.

این اقدامات نه‌تنها ریسک نفوذ را کاهش می‌دهند، بلکه از تبدیل شدن یک ضعف به فاجعه امنیتی جلوگیری می‌کنند.