CIS安全公告：FortiWeb中的漏洞可能允许远程代码执行

MS-ISAC 公告编号： 2025-107 发布日期： 2025年11月14日

概述

在FortiWeb中发现了一个漏洞，可能导致远程代码执行。FortiWeb是由Fortinet开发的Web应用防火墙（WAF），旨在保护Web应用程序和API免受各种攻击，包括针对已知漏洞和零日漏洞的攻击。成功利用此漏洞可能允许攻击者通过精心构造的HTTP或HTTPS请求在系统上执行管理命令。

威胁情报

Fortinet已观察到该漏洞在野外被利用。CISA也已将此漏洞添加到已知被利用漏洞（KEV）目录中。

受影响系统

• FortiWeb 版本 8.0.0 至 8.0.1
• FortiWeb 版本 7.6.0 至 7.6.4
• FortiWeb 版本 7.4.0 至 7.4.9
• FortiWeb 版本 7.2.0 至 7.2.11
• FortiWeb 版本 7.0.0 至 7.0.11

风险评级

政府机构：

• 大型及中型政府实体：高
• 小型政府实体：中

企业：

• 大型及中型商业实体：高
• 小型商业实体：中

家庭用户：低

技术摘要

在FortiWeb中发现了一个漏洞，可能导致远程代码执行。漏洞详情如下：

• 战术： 初始访问（TA0001）
• 技术： 利用面向公众的应用程序（T1190）
• 描述： FortiWeb中存在一个相对路径遍历漏洞[CWE-23]，可能允许未经身份验证的攻击者通过精心构造的HTTP或HTTPS请求在系统上执行管理命令。如果HTTP/HTTPS管理接口按照最佳实践仅在内部可访问，则风险会显著降低。（CVE-2025-64446）

成功利用此漏洞可能允许攻击者通过精心构造的HTTP或HTTPS请求在系统上执行管理命令。

建议措施

我们建议采取以下行动：

1. 应用更新

   • 在适当测试后，立即通过Fortiguard为受影响的系统应用相应的更新。（对应措施M1051：更新软件）
   • 保障措施7.1：建立并维护漏洞管理流程： 为企业资产建立并维护一个文档化的漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时，审查并更新文档。
   • 保障措施7.2：建立并维护修复流程： 建立并维护一个基于风险的修复策略，并记录在修复流程中，每月或更频繁地进行审查。
   • 保障措施7.4：执行自动化应用程序补丁管理： 通过每月或更频繁的自动化补丁管理，对企业资产执行应用程序更新。
   • 保障措施7.5：对企业内部资产执行自动化漏洞扫描： 每季度或更频繁地对企业内部资产执行自动化漏洞扫描。使用符合SCAP标准的漏洞扫描工具，执行经过身份验证和未经身份验证的扫描。
   • 保障措施7.7：修复检测到的漏洞： 根据修复流程，每月或更频繁地通过流程和工具修复软件中检测到的漏洞。
   • 保障措施12.1：确保网络基础设施是最新的： 确保网络基础设施保持最新。示例实施方案包括运行最新稳定版本的软件和/或使用当前支持的网络即服务（NaaS）产品。每月或更频繁地审查软件版本，以验证软件支持情况。

2. 实施最小权限原则

   • 对所有系统和服务应用最小权限原则。以非特权用户（无管理权限的用户）身份运行所有软件，以减轻成功攻击的影响。（对应措施M1026：特权账户管理）
   • 保障措施4.7：管理企业资产和软件上的默认账户： 管理企业资产和软件上的默认账户，例如root、administrator和其他预配置的供应商账户。示例实施方案包括：禁用默认账户或使其无法使用。
   • 保障措施5.5：建立并维护服务账户清单： 建立并维护服务账户清单。该清单至少必须包含部门所有者、审查日期和目的。按照至少每季度或更频繁的计划执行服务账户审查，以验证所有活动账户均已获得授权。

3. 进行漏洞扫描

   • 漏洞扫描用于发现潜在可被利用的软件漏洞并进行修复。（对应措施M1016：漏洞扫描）
   • 保障措施16.13：进行应用程序渗透测试： 进行应用程序渗透测试。对于关键应用程序，经过身份验证的渗透测试比代码扫描和自动化安全测试更适合发现业务逻辑漏洞。渗透测试依赖于测试人员以经过身份验证和未经身份验证的用户身份手动操作应用程序的技能。

4. 网络分段

   • 对网络各部分进行架构设计，以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问潜在的敏感系统和信息。使用DMZ来容纳任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云（VPC）实例以隔离关键云系统。（对应措施M1030：网络分段）
   • 保障措施12.2：建立并维护安全的网络架构： 建立并维护安全的网络架构。安全的网络架构必须至少解决分段、最小权限和可用性问题。

5. 启用漏洞利用防护

   • 使用功能来检测和阻止可能导致或表明软件漏洞利用发生的条件。（对应措施M1050：漏洞利用防护）
   • 保障措施10.5：启用反漏洞利用功能： 在可能的情况下，在企业资产和软件上启用反漏洞利用功能，例如Microsoft®数据执行保护（DEP）、Windows® Defender Exploit Guard（WDEG）或Apple®系统完整性保护（SIP）和Gatekeeper™。

6. 建立渗透测试计划

   • 保障措施18.1：建立并维护渗透测试计划： 建立并维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围（例如网络、Web应用程序、应用程序编程接口（API）、托管服务和物理场所控制）、频率、限制（例如可接受的时间、排除的攻击类型）、联系点信息、修复（例如调查结果将如何在内部路由）以及回顾性要求。
   • 保障措施18.2：执行定期外部渗透测试： 根据计划要求执行定期外部渗透测试，每年不少于一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验，必须通过合格的机构进行。测试可以是白盒测试或黑盒测试。
   • 保障措施18.3：修复渗透测试发现的问题： 根据企业关于修复范围和优先级划分的策略，修复渗透测试发现的问题。

参考资料

• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-64446
• FortiGuard：https://www.fortiguard.com/psirt/FG-IR-25-910