FortiWeb身份验证绕过漏洞被利用 - 检测脚本助你发现易受攻击设备

威胁行为者正在全球范围内积极利用Fortinet FortiWeb Web应用防火墙（WAF）中的关键身份验证绕过漏洞，促使防御者提高警惕。

watchTowr Labs的研究人员通过发布检测工件生成器脚本做出回应，该脚本旨在帮助组织扫描其环境中易受攻击的FortiWeb设备并快速缓解风险。

该漏洞被追踪为CVE-2025-52970，源于FortiWeb中不当的参数处理，使未经身份验证的远程攻击者能够通过精心构造的请求以任何现有用户身份登录。

该漏洞的CVSS评分为7.7分，需要一些非公开的设备知识，但会带来严重风险，包括权限提升和对受影响系统的潜在远程代码执行。

Fortinet在8.0.2及更高版本中修补了该漏洞，但自2025年8月部分概念验证公开以来，野外攻击激增，无差别地针对暴露的FortiWeb实例。

安全公司报告了数十起入侵事件，强调了在持续利用活动中立即修补的紧迫性。

WatchTowr Labs的开源工具托管在GitHub上的watchTowr-vs-Fortiweb-AuthBypass，通过模拟绕过机制简化了检测。该Python脚本生成唯一的用户名和密码（例如"35f36895"），并向目标IP发送漏洞利用负载，如python watchTowr-vs-Fortiweb-AuthBypass.py 192.168.1.99。

如果成功，它会通过创建临时用户来确认漏洞，提醒管理员进行修复。该脚本由Sina Kheirkhah（@SinSinology）和Jake Knott（@inkmoro）编写，针对8.0.2以下的FortiWeb版本，具体信息可通过FortiGuard Labs PSIRT获取。

组织应优先扫描面向互联网的设备，应用补丁并监控异常登录。随着供应链攻击的发展，在这样的威胁环境中，WAF反而成为入口点，此类工具能够实现主动防御。