Fortinet ha confermato di aver silenziosamente patchato una vulnerabilità critica zero-day nel suo firewall per applicazioni web FortiWeb, che ora è "sfruttato in modo massiccio "
La falla è stata silenziosamente patchata dopo rapporti che gli aggressori non autenticati stavano sfruttando una falla sconosciuta di FortiWeb path traversal all'inizio di ottobre per creare nuovi utenti amministrativi sui dispositivi esposti a Internet.
Gli attacchi sono stati identificati per la prima volta dalla società di threat intel Defused il 6 ottobre, che ha pubblicato un proof-of-concept exploit e segnalato that an “unknown Fortinet exploit (possibly a CVE-2022-40684 variant)” is being used to send HTTP POST requests to the /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi Fortinet endpoint to create local admin-level accounts.
Giovedì, i ricercatori di sicurezza di watchTowr Labs hanno anche dimostrato un exploit e rilasciato uno strumento chiamato "Generatore di artefatti per il bypass dell'autenticazione FortiWeb per aiutare i difensori a identificare i dispositivi vulnerabili.
L'azienda di sicurezza informatica Rapid7 aggiunto che la falla riguarda le versioni di FortiWeb 8.0.1 e precedenti, in quanto ha confermato che l'exploit proof-of-concept disponibile pubblicamente non funziona più dopo l'aggiornamento alla versione 8.0.2.
Oggi Fortinet ha reso noto che gli aggressori stanno attivamente sfruttando una vulnerabilità di confusione dei percorsi (ora tracciata come CVE-2025-64446) nel componente GUI di FortiWeb, che consente ad aggressori non autenticati di eseguire comandi amministrativi su sistemi privi di patch tramite richieste HTTP o HTTPS modificate.
"Fortinet ha osservato che questo fenomeno è stato sfruttato in modo selvaggio", ha dichiarato l'azienda in una nota. Avviso di sicurezza del venerdìche conferma che lo zero-day è stato patchato in FortiWeb 8.0.2, rilasciato il 28 ottobre, tre settimane dopo la prima segnalazione di sfruttamento attivo di CVE-2025-64446.
| Versione | Interessato | Soluzione |
|---|---|---|
| FortiWeb 8.0 | Da 8.0.0 a 8.0.1 | Aggiornamento a 8.0.2 o superiore |
| FortiWeb 7.6 | Da 7.6.0 a 7.6.4 | Aggiornamento a 7.6.5 o superiore |
| FortiWeb 7.4 | Da 7.4.0 a 7.4.9 | Aggiornamento a 7.4.10 o superiore |
| FortiWeb 7.2 | Da 7.2.0 a 7.2.11 | Aggiornamento a 7.2.12 o superiore |
| FortiWeb 7.0 | Da 7.0.0 a 7.0.11 | Aggiornamento a 7.0.12 o superiore |
Alle agenzie federali è stato ordinato di applicare una patch entro una settimana
La CISA inoltre aggiunta la falla di attraversamento del percorso CVE-2025-64446 al suo catalogo di vulnerabilità attivamente sfruttate venerdì scorso, ordinando alle agenzie federali statunitensi di applicare una patch ai propri sistemi entro il 21 novembre.
"Questo tipo di vulnerabilità è un vettore di attacco frequente per gli attori informatici malintenzionati e pone rischi significativi per l'impresa federale", ha avvertito l'agenzia per la sicurezza informatica.
Gli amministratori che non possono eseguire immediatamente l'aggiornamento a FortiWeb 8.0.2 devono disabilitare HTTP o HTTPS per tutte le interfacce di gestione rivolte a Internet e assicurarsi che l'accesso sia limitato alle reti affidabili.
Fortinet ha inoltre consigliato ai clienti di controllare la propria configurazione e di esaminare i registri per verificare la presenza di nuovi account di amministratore non autorizzati e altre modifiche inaspettate.
BleepingComputer ha contattato Fortinet per chiedere informazioni su questi attacchi in corso, ma non ha ancora ricevuto risposta.
Ad agosto, Fortinet ha corretto una falla critica nell'iniezione di comandi (CVE-2025-25256) con un codice di exploit disponibile pubblicamente nella sua soluzione di monitoraggio della sicurezza FortiSIEM, un giorno dopo che l'azienda di cybersicurezza GreyNoise aveva avvertito di una massiccio picco di attacchi brute-force contro le VPN SSL di Fortinet.
EN_US 
BG 
IT