CVE-2025-64446: Vulnerabilità di Path Traversal non autenticata in Fortinet FortiWeb con esecuzione di codice remoto

Fortinet FortiWeb è una soluzione Web Application Firewall (WAF) distribuita al perimetro della rete per proteggere applicazioni web critiche da un’ampia gamma di attacchi informatici. A causa della sua posizione strategica, è spesso esposto a Internet, diventando un obiettivo di alto valore per gli attori minacciosi che cercano di compromettere la sicurezza perimetrale di un’organizzazione.

Questa vulnerabilità presenta un rischio critico, in quanto consente a un attaccante remoto e non autenticato di ottenere il pieno controllo amministrativo sul dispositivo FortiWeb. Un exploit riuscito porta alla compromissione completa del sistema, permettendo all’attaccante di disattivare le protezioni di sicurezza, intercettare dati sensibili e utilizzare il dispositivo come punto di accesso per ulteriori attacchi alla rete interna.

Sebbene non ci siano al momento segnalazioni pubbliche di sfruttamento attivo di CVE-2025-64446, è disponibile un exploit pubblico. Ciò aumenta notevolmente la probabilità di attacco, poiché la barriera di ingresso per potenziali minacce è molto bassa. Tutte le organizzazioni che utilizzano le versioni interessate, in particolare quelle con interfacce di gestione esposte a Internet, sono a rischio immediato e devono agire con urgenza.

Fortinet FortiWeb
2025-12-06 12:22:11

Riassunto tecnico

La causa principale di questa vulnerabilità è una CWE-22: Limitazione impropria di un percorso a una directory riservata (‘Path Traversal’). L’interfaccia di gestione di FortiWeb non riesce a sanitizzare correttamente l’input fornito dagli utenti all’interno delle richieste HTTP e HTTPS, permettendo a un attaccante di utilizzare sequenze di traversal di percorso (es. ../) per uscire dalla directory web root limitata.

La catena di attacco può essere riassunta come segue:

  1. Un attaccante non autenticato invia una richiesta HTTP/S appositamente creata a un dispositivo FortiWeb esposto.
  2. La richiesta prende di mira un endpoint API non specificato e include sequenze di traversal di percorso in un parametro.
  3. Il software sottostante non neutralizza queste sequenze, concedendo all’attaccante accesso in lettura/scrittura a file arbitrari nel filesystem.
  4. Accedendo ed eseguendo script o binari amministrativi a livello di sistema, l’attaccante ottiene l’esecuzione di codice remoto con i privilegi del processo del server web, che opera come amministratore.

Versioni interessate:

  • FortiWeb 8.0: versioni da 8.0.0 a 8.0.1
  • FortiWeb 7.6: versioni da 7.6.0 a 7.6.4
  • FortiWeb 7.4: versioni da 7.4.0 a 7.4.9
  • FortiWeb 7.2: versioni da 7.2.0 a 7.2.11
  • FortiWeb 7.0: versioni da 7.0.0 a 7.0.11

Fortinet ha rilasciato patch per tutti i rami interessati. Un exploit riuscito consente a un attaccante di prendere il controllo completo del dispositivo, trasformandolo in un agente ostile sul perimetro della rete.

Raccomandazioni

  • Applicare le patch immediatamente: Aggiornare tutti i dispositivi FortiWeb interessati alla versione patchata più recente fornita da Fortinet per la propria linea di rilascio.
  • Misure di mitigazione: Come misura temporanea, se non è possibile applicare immediatamente la patch, limitare tutto l’accesso all’interfaccia di gestione di FortiWeb a una rete interna dedicata e sicura. Non esporre l’interfaccia di gestione a Internet. Utilizzare liste di controllo degli accessi (ACL) sui dispositivi a monte per rafforzare questa limitazione.
  • Caccia e monitoraggio:
    • Verificare i log di accesso web del dispositivo FortiWeb alla ricerca di richieste contenenti sequenze di traversal di percorso come ../, ..%2f, %2e%2e/ e le relative varianti codificate.
    • Monitorare eventuali connessioni di rete anomale in uscita originate dal dispositivo FortiWeb, che potrebbero indicare una compromissione riuscita e comunicazioni con un server di comando e controllo (C2).
    • Cercare la creazione di file inaspettati o processi attivi con privilegi amministrativi sul dispositivo.
  • Risposta agli incidenti: Se si sospetta una compromissione, isolare immediatamente il dispositivo FortiWeb interessato dalla rete per prevenire movimenti laterali. Conservare tutti i log, le immagini dei dischi e i file di configurazione per un’analisi forense. Presumere che tutto il traffico transitato dal WAF possa essere stato compromesso e avviare un’indagine approfondita dell’incidente.
  • Difesa in profondità: Assicurarsi che la segmentazione della rete sia implementata per limitare l’impatto di un dispositivo perimetrale compromesso. Eseguire regolarmente backup delle configurazioni dell’appliance per facilitare un ripristino rapido in caso di incidente di sicurezza.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In