FortiWeb CVE-2025-25257 SQLi -> RCE

Sadržaj
‍
Otkrivena je i masovno iskorištavana ranjivost CVE-2025-25257 u Fortinet FortiWeb (pre-auth SQL injection -> RCE). Objavljene su zakrpe, ali u divljini se bilježe skeniranja i eksploit pokušaji. Iz izvora se prijavljuje aktivna eksploatacija i masovni napadi koji u kratkom roku ciljaju honeypote, u jednom zabilježenom slučaju aktivnosti dolaze sa adrese 106.222.203[.]214 (Bharti Airtel Ltd., Telemedia Services).

Detalji
‍
CVE-2025-25257 je ranjivost koja omogućuje neautentificiranom napadaču da u FortiWeb uređaj pošalje zlonamjeran SQL-podatak (ili drugo oblikovanu HTTP/POST ulaznu vrijednost) koji se neispravno prosljeđuje u parsere/SQL engine unutar aplikacije, što dovodi najprije do iznošenja podataka, a u određenim lancima eksploatacije i do daljnjeg izvršavanja koda (RCE). Zbog toga je ovaj propust iznimno opasan: uređaji izloženi internetu s default ili nedovoljno ograničenim web-sučeljem mogu brzo postati meta automatiziranih skenera i eksploata.
‍
Operativne karakteristike napada koje su zabilježene u incidentima i analizama:
‍
• Veliki broj brzih pokušaja eksploitacije (mass scanning/exploitation) koji ciljaju široki raspon FortiWeb instanci.
• Napadači koriste automatizirane alate koji izvode različite varijante SQLi payloada, ponekad u kombinaciji s drugim sljedećim fazama (upload web shelleva, naredbeni dropperi) kako bi povećali šanse za RCE.
• U zabilježenim slučajevima napadi su dolazili iz skupine IP adresa i pojedinačnih izvora koji brzo rotiraju, a jedan zabilježeni izvor aktivnosti u javnoj prijavi bio je 106.222.203[.]214 (operater: Bharti Airtel Ltd.).
• U nekim incidentima napadači su unutar nekoliko minuta uspješno kompromitirali honeypote uređaje i pokrenuli niz automatiziranih koraka: preuzimanje dodatnih alata, lateralno skeniranje i pokušaji persistencije.
‍
Posljedice kompromitacije mogu uključivati: iznošenje osjetljivih podataka, prekid usluge, postavljanje backdoora za daljnji pristup te potencijalno širenje na unutarnju mrežu. Zato hitna primjena zakrpa i provedba mrežnih mitigacija ima visok prioritet.

Preporuka (akcije vezane uz IP 106.222.203[.]214)
‍
Primijenite službene zakrpe za FortiWeb koje adresiraju CVE-2025-25257, ako zakrpa nije odmah dostupna, ograničite izlaganje web-sučelja internetu dok se popravak ne primijeni. Istovremeno obavite prioritetnu provjeru indikatora kompromitacije - pregledajte WAF, web i firewall logove za uzorke SQLi napada te posebno provjerite zapise za IP 106.222.203[.]214.

U slučaju potvrde komunikacije vezane uz eksploat, izolirajte pogođeni uređaj i pokrenite forenzičku analizu. Privremena mrežna mjera može uključivati blokadu prometa s navedene IP adrese na perimetru i postavljanje IDS/IPS pravila za detekciju tipičnih SQLi payload-ova kako bi se zaustavili daljnji automatizirani pokušaji.

Reference
‍
• https://zeropath.com/blog/fortinet-fortiweb-cve-2025-25257-sql-injection-rce
• https://cybersecuritynews.com/fortiweb-sql-injection-vulnerability/
• https://socradar.io/cve-2025-25257-fortiweb-sql-injection-bug-rce/
• https://nvd.nist.gov/vuln/detail/CVE-2025-25257

‍