Spoločnosť Fortinet varovala pred novou bezpečnostnou chybou vo FortiWeb, o ktorej uviedla, že bola zneužívaná v reálnych útokoch.
Zraniteľnosť strednej závažnosti, sledovaná ako CVE-2025-58034, má skóre CVSS 6,7 z maximálnych 10,0.
„Zraniteľnosť typu Nesprávna neutralizácia špeciálnych prvkov použitých v príkaze OS (‘OS Command Injection’) [CWE-78] vo FortiWeb môže umožniť autentifikovanému útočníkovi spustiť neautorizovaný kód v podkladovom systéme prostredníctvom upravených HTTP požiadaviek alebo príkazov CLI,“ uviedla spoločnosť v utorňajšom upozornení.
Inými slovami, úspešné útoky si vyžadujú, aby sa útočník najskôr nejako autentifikoval a následne skombinoval túto zraniteľnosť s CVE-2025-58034 na vykonanie ľubovoľných príkazov operačného systému.
Chyba bola opravená v nasledujúcich verziách –
- FortiWeb 8.0.0 až 8.0.1 (aktualizovať na 8.0.2 alebo vyššiu)
- FortiWeb 7.6.0 až 7.6.5 (aktualizovať na 7.6.6 alebo vyššiu)
- FortiWeb 7.4.0 až 7.4.10 (aktualizovať na 7.4.11 alebo vyššiu)
- FortiWeb 7.2.0 až 7.2.11 (aktualizovať na 7.2.12 alebo vyššiu)
- FortiWeb 7.0.0 až 7.0.11 (aktualizovať na 7.0.12 alebo vyššiu)
Spoločnosť pripísala zásluhy výskumníkovi Trend Micro, Jasonovi McFadyenovi, za nahlásenie chyby v rámci programu zodpovedného zverejňovania.
Zaujímavé je, že tento vývoj prichádza len niekoľko dní po tom, ako Fortinet potvrdil, že potichu opravil inú kritickú zraniteľnosť FortiWeb (CVE-2025-64446, CVSS 9,1) vo verzii 8.0.2. Hoci spoločnosť neobjasnila, či má exploitačná aktivita súvislosť, spoločnosť Orange Cyberdefense uviedla, že zaznamenala „niekoľko kampaní“, ktoré spájali CVE-2025-58034 s CVE-2025-64446, aby umožnili obídenie autentifikácie a injekciu príkazov.
„Časový odstup medzi zverejnením oboch zraniteľností je len niekoľko dní. Obe zraniteľnosti boli výrobcom opravené v predchádzajúcich aktualizáciách produktu bez toho, aby o tom v tom čase vydal správu,“ uviedla spoločnosť Rapid7.
„Existuje zrejmý význam kombinácie obchádzania autentifikácie s autentifikovanou injekciou príkazov. Vzhľadom na všetky tieto skutočnosti sa zdá veľmi pravdepodobné, že tieto dve zraniteľnosti tvoria exploit chain pre neautentifikované vzdialené spustenie kódu proti zraniteľným zariadeniam FortiWeb.“
„Akonáhle sme sa o tejto záležitosti dozvedeli, aktivovali sme našu PSIRT reakciu a úsilie o nápravu a tieto snahy stále prebiehajú,“ povedal hovorca Fortinetu pre The Hacker News. „Fortinet dôsledne vyvažuje náš záväzok k bezpečnosti našich zákazníkov a našu kultúru zodpovednej transparentnosti.“
V súčasnosti nie je jasné, prečo sa Fortinet rozhodol opraviť chyby bez zverejnenia upozornenia. Tento krok však postavil obrancov do nevýhodnej pozície a efektívne im zabránil v primeranej reakcii.
„Keď populárni technologickí dodávatelia zlyhajú pri komunikácii nových bezpečnostných problémov, vydávajú pozvánku pre útočníkov, zároveň však bránia tým istým informáciám v prístupe k obrancom,“ uviedol minulý týždeň VulnCheck.
Americká agentúra pre kybernetickú bezpečnosť a infraštruktúru (CISA) pridala tento bezpečnostný nedostatok do svojho katalógu známych zneužívaných zraniteľností (KEV) a vyzvala federálne agentúry FCEB, aby ho opravili do 25. novembra 2025.
Viac informácií tu:
https://thehackernews.com/2025/11/fortinet-warns-of-new-fortiweb-cve-2025.html