ISGroup Cybersicherheitsberatung

CVE-2025-64446: Nicht authentifizierte Path-Traversal-Schwachstelle in Fortinet FortiWeb mit Remote Code Execution

Fortinet FortiWeb ist eine Web Application Firewall (WAF)-Lösung, die am Netzwerkrand eingesetzt wird, um kritische Webanwendungen vor einer Vielzahl von Cyberangriffen zu schützen. Aufgrund ihrer strategischen Position ist sie häufig dem Internet ausgesetzt und wird damit zu einem wertvollen Ziel für Bedrohungsakteure, die versuchen, die Perimetersicherheit eines Unternehmens zu kompromittieren.

Diese Schwachstelle stellt ein kritisches Risiko dar, da sie es einem nicht authentifizierten Remote-Angreifer ermöglicht, die vollständige administrative Kontrolle über das FortiWeb-Gerät zu erlangen. Ein erfolgreicher Exploit führt zur vollständigen Kompromittierung des Systems, wodurch der Angreifer Sicherheitsvorkehrungen deaktivieren, sensible Daten abfangen und das Gerät als Einstiegspunkt für weitere Angriffe auf das interne Netzwerk nutzen kann.

Obwohl derzeit keine öffentlichen Berichte über eine aktive Ausnutzung von CVE-2025-64446 vorliegen, ist ein öffentlicher Exploit verfügbar. Dies erhöht die Wahrscheinlichkeit eines Angriffs erheblich, da die Eintrittshürde für potenzielle Bedrohungen sehr niedrig ist. Alle Unternehmen, die die betroffenen Versionen verwenden, insbesondere solche mit Internet-exponierten Verwaltungsschnittstellen, sind unmittelbar gefährdet und müssen dringend handeln.

ProduktFortinet FortiWeb
Datum06.12.2025 12:22:11

Technische Zusammenfassung

Die Hauptursache dieser Schwachstelle ist eine CWE-22: Unzureichende Einschränkung eines Pfades zu einem geschützten Verzeichnis (‘Path Traversal’). Die Verwaltungsschnittstelle von FortiWeb versäumt es, Benutzereingaben innerhalb von HTTP- und HTTPS-Anfragen korrekt zu bereinigen, was es einem Angreifer ermöglicht, Path-Traversal-Sequenzen (z. B. ../) zu verwenden, um das eingeschränkte Web-Root-Verzeichnis zu verlassen.

Die Angriffskette lässt sich wie folgt zusammenfassen:

  1. Ein nicht authentifizierter Angreifer sendet eine speziell präparierte HTTP/S-Anfrage an ein exponiertes FortiWeb-Gerät.
  2. Die Anfrage zielt auf einen nicht spezifizierten API-Endpunkt ab und enthält Path-Traversal-Sequenzen in einem Parameter.
  3. Die zugrunde liegende Software neutralisiert diese Sequenzen nicht, was dem Angreifer Lese-/Schreibzugriff auf beliebige Dateien im Dateisystem gewährt.
  4. Durch den Zugriff auf und die Ausführung von administrativen Skripten oder Binärdateien auf Systemebene erreicht der Angreifer eine Remote-Code-Ausführung mit den Privilegien des Webserver-Prozesses, der als Administrator agiert.

Betroffene Versionen:

  • FortiWeb 8.0: Versionen 8.0.0 bis 8.0.1
  • FortiWeb 7.6: Versionen 7.6.0 bis 7.6.4
  • FortiWeb 7.4: Versionen 7.4.0 bis 7.4.9
  • FortiWeb 7.2: Versionen 7.2.0 bis 7.2.11
  • FortiWeb 7.0: Versionen 7.0.0 bis 7.0.11

Fortinet hat Patches für alle betroffenen Zweige veröffentlicht. Ein erfolgreicher Exploit ermöglicht es einem Angreifer, die vollständige Kontrolle über das Gerät zu übernehmen und es in einen feindlichen Akteur am Netzwerkrand zu verwandeln.

Empfehlungen

  • Patches umgehend anwenden: Aktualisieren Sie alle betroffenen FortiWeb-Geräte auf die neueste gepatchte Version, die von Fortinet für die jeweilige Release-Linie bereitgestellt wird.
  • Mitigationsmaßnahmen: Falls das Einspielen des Patches nicht sofort möglich ist, beschränken Sie als temporäre Maßnahme den gesamten Zugriff auf die FortiWeb-Verwaltungsschnittstelle auf ein dediziertes, sicheres internes Netzwerk. Exponieren Sie die Verwaltungsschnittstelle nicht gegenüber dem Internet. Verwenden Sie Zugriffskontrolllisten (ACLs) auf vorgeschalteten Geräten, um diese Einschränkung zu erzwingen.
  • Suche und Überwachung:
    • Überprüfen Sie die Web-Zugriffsprotokolle des FortiWeb-Geräts auf Anfragen, die Path-Traversal-Sequenzen wie ../, ..%2f, %2e%2e/ und entsprechende kodierte Varianten enthalten.
    • Überwachen Sie ungewöhnliche ausgehende Netzwerkverbindungen, die vom FortiWeb-Gerät ausgehen, da diese auf eine erfolgreiche Kompromittierung und Kommunikation mit einem Command-and-Control-Server (C2) hindeuten könnten.
    • Suchen Sie nach der Erstellung unerwarteter Dateien oder aktiven Prozessen mit administrativen Privilegien auf dem Gerät.

  • Reaktion auf Vorfälle: Wenn eine Kompromittierung vermutet wird, isolieren Sie das betroffene FortiWeb-Gerät sofort vom Netzwerk, um laterale Bewegungen zu verhindern. Bewahren Sie alle Protokolle, Festplatten-Images und Konfigurationsdateien für eine forensische Analyse auf. Gehen Sie davon aus, dass der gesamte Datenverkehr, der die WAF durchlaufen hat, kompromittiert sein könnte, und leiten Sie eine gründliche Untersuchung des Vorfalls ein.
  • Defense-in-Depth: Stellen Sie sicher, dass eine Netzwerksegmentierung implementiert ist, um die Auswirkungen eines kompromittierten Peripheriegeräts zu begrenzen. Erstellen Sie regelmäßig Backups der Appliance-Konfigurationen, um eine schnelle Wiederherstellung im Falle eines Sicherheitsvorfalls zu ermöglichen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *