---

Fortinet pod ostrzałem: Krytyczne luki w FortiWeb i kontrowersyjne „ciche łatanie”

Wyobraź sobie sytuację, w której Twój cyfrowy ochroniarz – zapora sieciowa mająca blokować ataki – sam staje się tylnym wejściem dla hakerów. To niestety nie scenariusz filmu sensacyjnego, ale rzeczywistość, z którą mierzą się administratorzy używający rozwiązań Fortinet FortiWeb. Firma potwierdziła właśnie aktywną eksploatację dwóch krytycznych luk zero-day, a sposób, w jaki zarządziła kryzysem – po cichu łatając dziury, podczas gdy hakerzy już atakowali – budzi w branży ogromne emocje.

Oto szczegółowa analiza zagrożenia i instrukcja, jak zabezpieczyć swoją infrastrukturę.

Anatomia ataku: Dwie dziury, jeden krytyczny cel

Problem dotyczy Web Application Firewall (WAF) z rodziny FortiWeb. Fortinet zidentyfikował dwie osobne luki, które w połączeniu stanowią śmiertelne zagrożenie dla bezpieczeństwa sieci.

1. CVE-2025-64446: Otwarta brama dla każdego (CVSS 9.1)

To najpoważniejsza z luk. Jest to błąd typu relative path traversal w interfejsie graficznym (GUI). Co to oznacza w praktyce?

• Brak uwierzytelnienia: Atakujący nie musi znać żadnego hasła, aby przeprowadzić atak.
• Mechanizm: Haker wysyła specjalnie spreparowane żądanie HTTP POST do konkretnego endpointu (/api/v2.0/cmdb/system/admin...), co pozwala mu manipulować plikami systemowymi.
• Skutek: Możliwość utworzenia lokalnego konta administratora, co daje pełną kontrolę nad urządzeniem.

2. CVE-2025-58034: Wykonanie kodu (CVSS 6.7)

Druga luka to OS Command Injection. Teoretycznie jest mniej groźna, bo wymaga bycia zalogowanym użytkownikiem. Jednak w świecie cyberbezpieczeństwa luki rzadko występują w próżni.

Zabójcze Combo: Łańcuch Exploitów

Badacze z Orange Cyberdefense odkryli, że atakujący łączą obie luki w jeden łańcuch ataku. Scenariusz wygląda następująco:

1. Haker używa CVE-2025-64446, aby bez hasła stworzyć sobie konto administratora.
2. Następnie wykorzystuje to konto i lukę CVE-2025-58034, aby wykonać dowolne polecenia systemowe (RCE).

Efekt? Całkowite przejęcie urządzenia, które miało chronić sieć, bez wiedzy właściciela.

Kontrowersje wokół „Silent Patching”

To, co wyróżnia ten incydent, to nie tylko techniczny aspekt ataku, ale polityka informacyjna Fortinet. Firma zastosowała praktykę tzw. „cichego łatania” (silent patching).

• Pierwsze ataki zaobserwowano już 6 października 2025.
• Fortinet wypuścił łatkę (wersja 8.0.2) 28 października, ale nie poinformował publicznie, że łata ona krytyczną lukę bezpieczeństwa.
• Oficjalne ostrzeżenie (advisorium) pojawiło się dopiero 14 listopada, gdy ataki stały się masowe.

Taka strategia spotkała się z krytyką, m.in. ze strony firmy Rapid7, która zauważyła, że nieinformowanie obrońców o zagrożeniu przy jednoczesnym istnieniu exploita to zaproszenie dla atakujących.

Czy Twoja firma jest bezpieczna? (Lista działań)

Jeśli używasz FortiWeb w wersjach 7.0, 7.2, 7.4, 7.6 lub 8.0, musisz działać natychmiast.

Co należy zrobić?

1. Aktualizacja: To absolutny priorytet. Wgraj najnowszy firmware (np. 7.4.11+, 7.6.6+, 8.0.2+).
2. Workaround (jeśli nie możesz zaktualizować): Natychmiast zablokuj dostęp do interfejsu zarządzania (HTTP/HTTPS) z internetu. Powinien on być dostępny tylko przez VPN lub z zaufanych sieci lokalnych.
3. Audyt logów: Sprawdź, czy w systemie nie pojawiły się nowe, nieznane konta administratorów oraz szukaj w logach prób dostępu do ścieżki /cgi-bin/fwbcgi.

Podsumowanie

Trzeba spojrzeć prawdzie w oczy: Fortinet nie ma ostatnio najlepszej passy, jeśli chodzi o dziury w sofcie. Częstotliwość występowania krytycznych błędów w ich kluczowych produktach może budzić niepokój u administratorów.

Z drugiej jednak strony, firmie trzeba oddać jedno – gdy problem jest już na stole, ich inżynierowie działają błyskawicznie. Szybko łatają dziury (często zanim większość świata w ogóle dowie się o problemie) i finalnie nie ukrywają problemu, publikując szczegółowe instrukcje naprawcze i współpracując z badaczami. W świecie cyberbezpieczeństwa nie ma oprogramowania idealnego, ale szybkość reakcji na błędy jest tym, co odróżnia dobrego vendora od złego – nawet jeśli komunikacja po drodze bywa szorstka.

Źródła

1. https://thehackernews.com/2025/11/fortinet-warns-of-new-fortiweb-cve-2025.html
2. https://www.bleepingcomputer.com/news/security/fortinet-confirms-silent-patch-for-fortiweb-zero-day-exploited-in-attacks/
3. https://www.cybersecuritydive.com/news/critical-vulnerability-in-fortinet-fortiweb-is-under-exploitation/805688/
4. https://fortiguard.fortinet.com/psirt/FG-IR-25-910
5. https://www.crowdsec.net/vulntracking-report/cve-2025-64446?_hsmi=390468155
6. https://arcticwolf.com/resources/blog/cve-2025-64446/
7. https://securityaffairs.com/184806/hacking/new-fortiweb-zero-day-cve-2025-58034-under-attack-patched-by-fortinet.html
8. https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild/
9. https://insights.integrity360.com/threat-advisories/threat-advisory-fortinet-fortiweb-active-exploit-nov-2025
10. https://cyberscoop.com/fortinet-delayed-disclosure-exploited-vulnerability/
11. https://rhyno.io/blogs/cybersecurity-news/fortinet-rushes-out-emergency-patch-for-severe-fortiweb-flaw/
12. https://secure-iss.com/soc-advisory-critical-zero-day-vulnerability-in-fortinet-fortiweb-17-november-2025/
13. https://fortiguard.fortinet.com/psirt/FG-IR-25-151
14. https://www.dataminr.com/resources/intel-brief/cve-2025-64446-fortinet-fortiweb-zero-day/
15. https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html
16. https://sekurak.pl/wybrane-urzadzenia-fortineta-pod-ostrzalem-atakujacy-wykorzystywali-0day/
17. https://ccb.belgium.be/advisories/warning-path-traversal-vulnerability-fortinet-fortiweb-patch-immediately
18. https://www.securityweek.com/fortinet-discloses-second-exploited-fortiweb-zero-day-in-a-week/
19. https://moje.cert.pl/komunikaty/2025/57/aktywnie-wykorzystywana-krytyczna-podatnosc-w-urzadzeniach-fortinet-fortiweb-manager/
20. https://www.zerodayinitiative.com/advisories/ZDI-25-1014/