零日攻击警告：Fortinet FortiWeb漏洞允许未经授权获取管理员权限！

网络安全公司对Fortinet公司的Web应用防火墙产品FortiWeb中的一个关键漏洞发出警报。该漏洞自2025年10月以来已被观察到在野外被主动利用，允许没有任何现有访问权限的攻击者立即获得FortiWeb Manager面板的管理员级控制权。

使用易受攻击版本FortiWeb的组织建议采取紧急修复措施，因为公开的概念验证漏洞利用代码的存在意味着广泛利用的可能性很高。

事件时间线

事件始于2025年10月6日，当时网络欺骗公司Defused观察到概念验证漏洞利用攻击了其一个FortiWeb Manager蜜罐。捕获的流量显示，未经身份验证的攻击者发送了一个精心制作的HTTP POST请求，最终在FortiWeb Manager面板上创建了一个新的管理员级账户，并立即获得了websocket CLI的访问权限。

Rapid7随后针对多个FortiWeb版本测试了该漏洞利用：

• 公开的概念验证代码对FortiWeb 8.0.1版本（2025年8月发布）可靠有效
• 相同的漏洞利用在最新的FortiWeb 8.0.2版本上失败

目前尚不清楚为什么在8.0.2版本上会失败。在没有供应商公告的情况下，研究人员无法确认Fortinet是否悄悄修复了该漏洞，或者漏洞利用是否因不相关更改的副作用而失效。

情况在2025年11月6日进一步升级，当时Rapid7 Labs在一个流行的黑帽论坛上发现了一个据称是FortiWeb零日漏洞的出售信息。在撰写本文时，尚不清楚该地下列表描述的是否与Defused在其蜜罐中捕获的相同漏洞，但时间上的巧合很难忽视。

目前，Fortinet尚未就此特定问题发布官方PSIRT公告或CVE标识符。

检测与缓解

虽然技术细节仍然有限，但防御者可以根据已知信息开始搜寻可疑活动：

• 异常管理员账户创建：突然出现的新FortiWeb管理员账户，特别是使用通用或"Testpoint"用户名的，应立即调查
• 对FortiWeb管理API的异常POST请求：查找管理界面上很少使用的配置端点的POST请求，特别是与系统管理或账户管理相关的
• 来自不受信任IP的CLI/Websocket活动：来自意外外部IP的任何websocket CLI会话或管理员登录尝试都是危险信号

WatchTowr已复现了该漏洞利用，并发布了一个脚本，可以检查给定的FortiWeb实例是否表现出与身份验证绕过一致的行为。

具有严格变更控制的组织可能希望在实验室或受控环境中运行此类检测工具，以验证其特定版本是否可利用，同时等待官方的供应商指导。

强烈建议运行8.0.2之前版本FortiWeb的组织通过更新到FortiWeb 8.0.2版本来进行紧急修复。