Fortinet FortiWeb ist eine Web Application Firewall, die Webanwendungen und APIs vor Angriffen schützt. Ihr Fabric Connector integriert FortiWeb in das breitere Sicherheits-Ökosystem von Fortinet. CVE-2025-25257 ist eine kritische SQL-Injection-Schwachstelle in diesem Connector, die es einem nicht authentifizierten Remote-Angreifer ermöglicht, Code auf dem Gerät auszuführen, was das Risiko einer vollständigen Systemkompromittierung birgt.
| Produkt | Cisco ISE |
| Datum | 22.07.2025 10:02:04 |
Technische Zusammenfassung
Die Schwachstelle liegt in der Funktion get_fabric_user_by_token, die den Authorization-Header unsachgemäß verarbeitet und eine SQL-Injection über den Endpunkt /api/fabric/device/status ohne Authentifizierung ermöglicht. Durch die Ausnutzung dieser Sicherheitslücke kann ein Angreifer mittels des MySQL-Befehls SELECT INTO OUTFILE schädliche Dateien als Root-Benutzer schreiben. Dabei wird eine speziell präparierte Python-.pth-Datei platziert, die die Remote-Code-Ausführung über ein Python-CGI-Skript (ml-draw.py) auslöst. Dieser mehrstufige Angriff hebt den Schutz durch die WAF effektiv auf und kompromittiert das gesamte System. Die Schwachstelle wird aktiv in realen Umgebungen ausgenutzt.
Empfehlungen
- Installieren Sie umgehend das Update auf die Versionen FortiWeb 7.6.4, 7.4.8, 7.2.11, 7.0.11 oder höher.
- Deaktivieren Sie vorübergehend die HTTP/HTTPS-Administrationsschnittstelle, falls sich das Einspielen des Patches verzögert.
- Überwachen Sie den Netzwerkverkehr auf verdächtige API-Aufrufe und scannen Sie das System auf nicht autorisierte .pth-Dateien.
- Isolieren Sie Administrationsschnittstellen in sicheren Netzwerken und vermeiden Sie eine öffentliche Exposition.
[Callforaction-THREAT-Footer]
Leave a Reply