9.6 из 10: Fortinet взломали… изнутри. Уязвимость позволяет писать код прямо в базу
NewsMakerPython и MySQL объединились против FortiWeb в самой изощренной атаке лета.
Компания Fortinet выпустила обновления безопасности для FortiWeb, устраняющие серьёзную уязвимость , которая открывала злоумышленникам возможность удалённого выполнения произвольных SQL-запросов без какой-либо авторизации. Угроза получила идентификатор CVE-2025-25257 и критическую оценку 9.6 балла по шкале CVSS, что делает её одной из самых опасных на текущий момент.
Проблема затронула компонент Fabric Connector, обеспечивающий интеграцию FortiWeb с другими продуктами Fortinet. Уязвимость была найдена в функции «get_fabric_user_by_token», которая использовалась при проверке доступа к API.
Специалисты из watchTowr Labs установили , что при обработке HTTP-запросов с заголовком Authorization, содержащим Bearer-токен, введённые данные передавались в базу данных без должной фильтрации. Это открывало путь для SQL-инъекций, включая возможность выполнения опасных команд, таких как «SELECT... INTO OUTFILE», позволяющих записывать произвольный код на диск и запускать его.
Проблема также усугублялась тем, что запросы выполнялись от имени системного пользователя «mysql», что давало дополнительный контроль над файловой системой. Исследование показало, что атакующий мог использовать язык Python для активации вредоносного кода, внедрённого через SQL-запрос, что в некоторых случаях позволяло переходить от SQL-инъекции к полноценному удалённому выполнению команд в системе.
Fortinet оперативно отреагировала, заменив уязвимую реализацию форматных строк на безопасные подготовленные выражения. Это исключает возможность подмены структуры SQL-запросов и блокирует основной вектор атаки.
Проблема касается следующих версий FortiWeb:
– 7.6.0–7.6.3 (рекомендуется обновиться до 7.6.4 и выше)
– 7.4.0–7.4.7 (обновление до 7.4.8 и выше)
– 7.2.0–7.2.10 (обновление до 7.2.11 и выше)
– 7.0.0–7.0.10 (обновление до 7.0.11 и выше)
Уязвимость была выявлена Кентаро Каванэ из японской компании GMO Cybersecurity, ранее уже замеченного в нахождении серьёзных уязвимостей в продуктах Cisco. Fortinet поблагодарила специалиста за сообщение и содействие в устранении проблемы.
До установки обновлений Fortinet рекомендует временно отключить веб-интерфейсы управления по HTTP и HTTPS, чтобы снизить риск несанкционированного доступа. История эксплуатации уязвимостей в продуктах Fortinet показала, что злоумышленники активно используют такие уязвимости сразу после их публикации, поэтому промедление с обновлением может повлечь за собой реальные угрозы для инфраструктуры.
Компания Fortinet выпустила обновления безопасности для FortiWeb, устраняющие серьёзную уязвимость , которая открывала злоумышленникам возможность удалённого выполнения произвольных SQL-запросов без какой-либо авторизации. Угроза получила идентификатор CVE-2025-25257 и критическую оценку 9.6 балла по шкале CVSS, что делает её одной из самых опасных на текущий момент.
Проблема затронула компонент Fabric Connector, обеспечивающий интеграцию FortiWeb с другими продуктами Fortinet. Уязвимость была найдена в функции «get_fabric_user_by_token», которая использовалась при проверке доступа к API.
Специалисты из watchTowr Labs установили , что при обработке HTTP-запросов с заголовком Authorization, содержащим Bearer-токен, введённые данные передавались в базу данных без должной фильтрации. Это открывало путь для SQL-инъекций, включая возможность выполнения опасных команд, таких как «SELECT... INTO OUTFILE», позволяющих записывать произвольный код на диск и запускать его.
Проблема также усугублялась тем, что запросы выполнялись от имени системного пользователя «mysql», что давало дополнительный контроль над файловой системой. Исследование показало, что атакующий мог использовать язык Python для активации вредоносного кода, внедрённого через SQL-запрос, что в некоторых случаях позволяло переходить от SQL-инъекции к полноценному удалённому выполнению команд в системе.
Fortinet оперативно отреагировала, заменив уязвимую реализацию форматных строк на безопасные подготовленные выражения. Это исключает возможность подмены структуры SQL-запросов и блокирует основной вектор атаки.
Проблема касается следующих версий FortiWeb:
– 7.6.0–7.6.3 (рекомендуется обновиться до 7.6.4 и выше)
– 7.4.0–7.4.7 (обновление до 7.4.8 и выше)
– 7.2.0–7.2.10 (обновление до 7.2.11 и выше)
– 7.0.0–7.0.10 (обновление до 7.0.11 и выше)
Уязвимость была выявлена Кентаро Каванэ из японской компании GMO Cybersecurity, ранее уже замеченного в нахождении серьёзных уязвимостей в продуктах Cisco. Fortinet поблагодарила специалиста за сообщение и содействие в устранении проблемы.
До установки обновлений Fortinet рекомендует временно отключить веб-интерфейсы управления по HTTP и HTTPS, чтобы снизить риск несанкционированного доступа. История эксплуатации уязвимостей в продуктах Fortinet показала, что злоумышленники активно используют такие уязвимости сразу после их публикации, поэтому промедление с обновлением может повлечь за собой реальные угрозы для инфраструктуры.