吳明宜Fortinet 上週發出警告,指出其網頁防火牆 FortiWeb 出現一項可讓未授權攻擊者取得管理員權限的重大漏洞,且已遭到實際利用。
此漏洞編號為 CVE-2025-64446(CVSS 分數:9.1),屬於路徑遍歷漏洞。攻擊者可透過 HTTP 或 HTTPS 發送特製請求加以濫用,進而在系統端執行管理員指令。
Fortinet 在安全公告中表示已觀察到攻擊行動,但未透露進一步細節。
受影響版本包括:FortiWeb 8.0.0 至 8.0.1 、 7.6.0 至 7.6.4 、 7.4.0 至 7.4.9 、 7.2.0 至 7.2.11,以及 7.0.0 至 7.0.11 。官方目前已提供修補版本:8.0.2 、 7.6.5 、 7.4.10 、 7.2.12 與 7.0.12 。
美國網路安全暨基礎架構管理署 (CISA) 上週發布強制操作指令 (Binding Operational Directive, BOD) 22-01,將 CVE-2025-64446 列入其「已知受濫用漏洞」(Known Exploited Vulnerability, KEV) 清單,並要求聯邦機構在一週內完成修補,顯示此漏洞的嚴重程度。
然而,Fortinet 與 CISA 的警告似乎稍嫌延遲。多家資安業者已於週四指出,FortiWeb 8.0.1 及更早版本的裝置陸續出現遭攻擊跡象。
WatchTowr 表示,攻擊者正對全球 FortiWeb 裝置發動無差別掃描與攻擊;PwnDefend 與 Rapid7 則指出,相關攻擊可能利用了 Defused 於 10 月初公開的濫用程式。 Defused 也基於該程式釋出概念驗證 (PoC) 程式碼。
PwnDefend 與 Rapid7 指出,該濫用程式可讓攻擊者在受害裝置中建立管理員帳號。 Rapid7 更在 11 月 6 日觀察到攻擊者於暗網論壇散布針對 FortiWeb 的零時差濫用程式。
watchTowr 的技術分析揭露,CVE-2025-64446 實際包含兩項弱點:路徑遍歷與驗證繞過,讓攻擊者能藉由建立管理員帳號全面掌控目標裝置。
watchTowr 同時指出,雖然 Fortinet 在 10 月發布 FortiWeb 8.0.2 時並未提及漏洞修補,但推測官方可能已掌握攻擊跡象並默默修正。
對此 Fortinet 回應,公司在確認攻擊時不宜公開細節,但已主動通知受影響客戶,並提供必要的防護建議,也呼籲客戶盡速查看安全公告並依指引操作。
Fortinet 建議,企業應在升級至最新版 FortiWeb 前,先關閉 HTTP/HTTPS 的網路存取介面。
此外,也應檢查設定與網路紀錄是否出現異常變更,例如是否存在未經授權的管理員帳號。
來源:SecurityWeek