研究员工作台:FortiWeb认证绕过漏洞(CVE-2025-64446)
欢迎来到研究员工作台 —— 这是Detectify安全研究团队推出的系列内容,旨在对那些特别有趣、复杂或顽固的漏洞进行技术剖析。本期我们将关注CVE-2025-64446,这是一个已在野被积极利用、针对Fortinet Web应用防火墙产品FortiWeb的关键认证绕过漏洞。
案例档案:未经授权的控制
| 漏洞类型 | 认证绕过/身份冒充漏洞 |
|---|---|
| 披露日期 | 2025年11月14日 |
| 评分 | 9.8(严重) |
| 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 标识符 | CVE-2025-64446 |
| 受影响组件 | Fortinet FortiWeb(Web应用防火墙) |
| 最终影响 | 未经授权执行管理命令/完全控制 |
| 观察结果 | 在野被利用;涉及“静默补丁”。 |
CVE-2025-64446的根本原因是什么?
核心问题是一个复杂的未经授权认证绕过漏洞。它涉及FortiWeb设备内部与用户模拟功能相关的一个不当处理机制。
本质上,该漏洞允许攻击者操纵系统验证用户身份的方式,诱骗设备授予管理员权限。该漏洞的根源在于,一个本应用于处理用户上下文的函数,其暴露或保护方式存在不当,从而使其能够被滥用于未授权访问。
CVE-2025-64446背后的机制是什么?
该机制涉及绕过标准登录流程,以获取FortiWeb设备上的完全管理员权限。
- 绕过关卡:攻击者首先利用一种机制(据报道是相对路径遍历结合逻辑缺陷)来访问FortiWeb设备上的一个受限可执行文件或API端点。
- 身份冒充:一旦访问到该端点,攻击者会发送包含旨在冒充内置管理员账户字段的特制输入(通常在HTTP头中)。
- 完全攻陷:设备的认证函数处理此不受信任的输入,并授予攻击者管理员上下文。这使得攻击者能够执行管理命令,通常会导致创建一个具有已知凭据的新持久性管理员账户,从而获得对WAF的完全控制权。
这个漏洞的有趣之处在于,它展示了认证逻辑错误的危险性,以及那些看似内部的、管理性的功能(如模拟)在未得到适当保护时如何被武器化。在公开补丁可用之前,该漏洞就已在攻击中被利用,证实了其零日状态。
防御要点
- 打补丁:Fortinet已发布更新以解决此漏洞。用户必须立即对所有受影响的FortiWeb版本应用安全补丁。
- 管理访问审查:作为潜在的失陷迹象,请审查VPN设备上自2025年10月初以来创建的任何新的、未知的或未授权的管理员账户。
- Detectify方法:Detectify客户正在运行基于有效载荷的测试,以检查触发此未经授权认证绕过所需的具体路径操纵和头部注入组合,从而为易受攻击的资产提供早期预警。
有问题吗?我们很乐意通过 support@detectify 收到您的来信,或预约演示以了解更多关于Detectify的信息。
参考链接
- https://nvd.nist.gov/vuln/detail/cve-2025-64446
- https://www.bleepingcomputer.com/news/security/fortinet-confirms-silent-patch-for-fortiweb-zero-day-exploited-in-attacks/
- https://labs.watchtowr.com/when-the-impersonation-function-gets-used-to-impersonate-users-fortinet-fortiweb-auth-bypass/
- https://blog.qualys.com/vulnerabilities-threat-research/2025/11/14/unauthenticated-authentication-bypass-in-fortinet-fortiweb-cve-2025-64446-exploited-in-the-wild