Haavoittuvuus22/2025CVSS 9.1CVE-2025-64446 (Ulkoinen linkki)
Fortinet julkaisi haavoittuvuustiedotteen FortiWeb-tuotteisiin vaikuttavasta haavoittuvuudesta, joka voi mahdollistaa todentamattoman hyökkääjän suorittaa ylläpitokomentoja järjestelmässä erikseen muokattujen HTTP- tai HTTPS-pyyntöjen avulla. Fortinet sekä useat muut toimijat ovat havainneet haavoittuvuutta hyväksikäytettävän aktiivisesti tietomurtojen yrityksissä.
Haavoittuvuuden kohde
Seuraavat Fortinet FortiWeb -verkkosovelluspalomuurin (WAF) versiot ovat haavoittuvia:
- 8.0.0 – 8.0.1 (korjattu versiossa 8.0.2 tai uudemmissa)
- 7.6.0 – 7.6.4 (korjattu versiossa 7.6.5 tai uudemmissa)
- 7.4.0 – 7.4.9 (korjattu versiossa 7.4.10 tai uudemmissa)
- 7.2.0 – 7.2.11 (korjattu versiossa 7.2.12 tai uudemmissa)
- 7.0.0 – 7.0.11 (korjattu versiossa 7.0.12 tai uudemmissa)
Mistä on kysymys?
CVE-2025-64446 on suhteellisen polun läpikulkuhaavoittuvuus (CWE-23: Relative Path Traversal), joka voi antaa todentamattomille hyökkääjille mahdollisuuden suorittaa ylläpitokomentoja järjestelmässä muokattujen HTTP- tai HTTPS-pyyntöjen avulla.
Haavoittuvuutta on havaittu hyväksikäytettävän esimerkiksi uusien ylläpitäjätunnusten lisäämiseen laitteelle, mikä voi mahdollistaa kohdelaitteiden täydellisen hallinnan kaappaamisen.
Mitä voin tehdä?
Valmistaja kehottaa asentamaan käyttöön päivitetyt versiot mahdollisimman pian.
Jos et voi päivittää järjestelmiä välittömästi, poista HTTP tai HTTPS käytöstä internetiin näkyvissä rajapinnoissa. Hallintarajapintojen pääsyn rajoittaminen vain sisäisiin verkkoihin on parhaiden käytäntöjen mukaista, mikä vähentää, muttei poista, riskiä. Päivitys on edelleen välttämätöntä ja ainoa tapa korjata haavoittuvuus kokonaan.
Päivityksen jälkeen tarkista kokoonpano ja lokit odottamattomien muutosten tai ylläpitäjätunnusten lisäämisen varalta.