FortiWeb ranjivost CVE-2025-58034

Sadržaj

Fortinet je objavio upozorenje zbog ranjivosti u njihovom proizvodu FortiWeb (web-aplikacijski zaštitni zid) označene kao CVE 2025 58034,aktivno iskorištavane u napadima. Ranjivost omogućuje napadaču koji je već prošao autentikaciju da putem posebnih HTTP zahtjeva izvrši komande na operacijskom sustavu.

Detalji

Ranjivost CVE-2025-58034 utječe na FortiWeb, Fortinetov web-aplikacijski firewall koji se koristi za zaštitu web aplikacija, API-ja i poslovnih servisa od napada poput SQL injekcija, XSS-a, bot prometa i pokušaja kompromitacije. Problem je pronađen u komponenti koja obrađuje HTTP zahtjeve i sustavske komande, gdje mehanizam provjere autentikacije nije ispravno provjeravao korisnički kontekst prije izvršavanja određenih funkcija. Zbog toga je napadač s postojećim pristupom mogao kreirati posebno oblikovan HTTP ili HTTPS zahtjev i tako prisiliti FortiWeb da izvrši proizvoljne naredbe na operacijskom sustavu.

Ranjivost je klasificirana kao OS Command Injection(CWE-78), što znači da se kroz manipulaciju parametara unutar HTTP zahtjeva mogu ubrizgati i izvršiti naredbe na razini uređaja. Iako CVE-2025-58034 ima CVSS ocjenu 6.7 (srednja kritičnost), stvarna iskorištivost u napadima povećava njezin operativni rizik. Fortinet je potvrdio aktivne pokušaje eksploatacije i više zabilježenih incidenata u stvarnim okruženjima.

Napadači u pravilu započinju slanjem automatiziranih probnih zahtjeva prema velikom broju IP adresa kako bi identificirali ranjive uređaje.Nakon što pronađu ranjivu verziju, šalju posebno oblikovan zahtjev koji pokreće izvršavanje komandi. Time napadač može instalirati skripte ili web-shell, manipulirati konfiguracijama, otvarati nove administrativne sesije ili koristiti uređaj kao ulaznu točku za daljnje napade unutar mreže.

Trend Micro i drugi izvori zabilježili su više od 2 000 pokušaja eksploatacije tijekom prvih dana kampanje. Uređaji izloženi internetu posebno su ugroženi jer je napad moguć isključivo putem mrežnog pristupa, bez fizičkog kontakta. CISA je izdala dodatno upozorenje te navela da se ranjivi FortiWeb uređaji u kombinaciji s drugim poznatim propustima mogu koristiti kao platforma za širenje zlonamjernog koda i trajne implantate.

Preporuke

• Ažurirajte FortiWeb na verziju 8.0.2 ili noviju.
• Dok se ne primijeni zakrpa, onemogućite ili ograničite pristup upravljačkom HTTP ili HTTPS sučelju izloženom internetu.
• Pregledajte logove i konfiguracije za neuobičajene aktivnosti, nepoznate administrativne račune, neautorizirane komande ili neočekivani promet.
• Segmentirajte mrežu i ograničite pristup upravljačkim sučeljima samo na unutarnje pouzdane mreže.
• Uključite SIEM i EDR alate za nadzor i rano upozoravanje na sumnjive događaje.

Reference

• https://fortiguard.fortinet.com/psirt/FG-IR-25-513
• https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-fortiweb-zero-day-exploited-in-attacks/
• https://nvd.nist.gov/vuln/detail/CVE-2025-58034

‍

‍