تعتبر ثغرة CVE-2025-64446 في Fortinet FortiWeb من الثغرات الحرجة التي تم استغلالها في الهجمات الفعلية، مما يستدعي اتخاذ إجراءات فورية.
تم استغلال ثغرة حرجة في منتج Fortinet FortiWeb، والتي تتيح تنفيذ التعليمات البرمجية عن بُعد، في الهجمات الفعلية.
أعلنت Fortinet في 14 نوفمبر عن CVE-2025-64446، وهي ثغرة في جدار الحماية لتطبيقات الويب (WAF) الخاص بها، FortiWeb. تؤثر هذه الثغرة على إصدارات FortiWeb من 8.0.0 إلى 8.0.1؛ 7.6.0 إلى 7.6.4؛ 7.4.0 إلى 7.4.9؛ 7.2.0 إلى 7.2.11؛ و7.0.0 إلى 7.0.11. وفقًا لإشعار PSIRT من Fortinet، فإن الخطأ هو ثغرة في التنقل النسبي للمسارات، والتي “قد تسمح لمهاجم غير مصادق له بتنفيذ أوامر إدارية على النظام عبر طلبات HTTP أو HTTPS مصممة خصيصًا.”
نظرًا لأن الثغرة قادرة على تنفيذ التعليمات البرمجية عن بُعد في حالة عدم المصادقة على نسخة FortiWeb المستهدفة، فإن CVE-2025-64446 تعتبر ثغرة حرجة (مع درجة CVSS تبلغ 9.1) وينبغي على العملاء المتأثرين تصحيح الثغرة على الفور. بالنسبة لـ FortiWeb 8.0، يجب على العملاء التحديث إلى الإصدارات 8.0.2 أو أعلى؛ بالنسبة لـ 7.6، 7.6.5 أو أعلى؛ بالنسبة لـ 7.4، 7.4.10 أو أعلى؛ بالنسبة لـ 7.2، 7.2.12 أو أعلى؛ ولـ 7.0، 7.0.12 أو أعلى.
تم إضافة الثغرة أيضًا إلى قائمة الثغرات المعروفة المستغلة من قبل وكالة الأمن السيبراني وأمن البنية التحتية (CISA).
تفاصيل ثغرة FortiWeb CVE-2025-64446
شرح حسين كان يوجيل، رئيس أبحاث الأمن في Picus Security، في منشور مدونة بتاريخ 17 نوفمبر أن CVE-2025-64446 “توجد لأن معالج واجهة برمجة التطبيقات GUI الخاص بـ FortiWeb لا يتحقق بشكل صحيح أو ينظف مسارات URL قبل معالجتها.”
“يمكن للمهاجم تصميم طلب HTTP خبيث يستغل تسلسلات التنقل النسبي للمسارات للخروج من مسار التوجيه المقصود /api/v2.0/”، كتب يوجيل. “يوفر التنقل عبر المسار الوصول إلى نقطة نهاية CGI مميزة، وتجاوز التلاعب بالرؤوس المصادقة تمامًا.”
بمجرد استغلالها، يمكن للمهاجم “إنشاء حسابات جديدة، تعديل التكوينات، أو تنفيذ أوامر API مميزة أخرى.”
على الرغم من أن العملاء يُنصحون بالتحديث في أقرب وقت ممكن، إذا لم يتمكن العميل من التحديث على الفور، توصي Fortinet بتعطيل HTTP أو HTTPS للواجهات المتصلة بالإنترنت. “إذا كانت واجهة إدارة HTTP/HTTPS متاحة داخليًا فقط وفقًا لأفضل الممارسات، فإن المخاطر تتقلص بشكل كبير”، وفقًا لما ذكره إشعار PSIRT.
هل تم تصحيح CVE-2025-64446 بصمت؟
يمكن القول أن قصة CVE-2025-64446 بدأت في 6 أكتوبر، عندما نشرت شركة Defused منشورًا على X تفيد فيه بأنها اكتشفت ثغرة غير معروفة في مصيدة FortiWeb Manager الخاصة بها. يقول سمو كوهونن، مؤسس ومدير الشركة، لـ Dark Reading أن “POC تم بناؤه بناءً على اكتشافنا، لذا فهي بالفعل نفس الثغرة. عملنا مع [شركة الأمن الهجومي] Code White GMBH للتحقق من POC.”
من المثير للاهتمام أن CVE-2025-64446 لم يتم الكشف عنها جنبًا إلى جنب مع إصدار FortiWeb 8.0.2 أو حتى ذكرها في ملاحظات الإصدار الأولية. يشرح كوهونن أيضًا أن الاستغلال عمل ضد 8.0.1 ولكن ليس 8.0.2.
لاحظت كايتلين كوندون من VulnCheck في منشور مدونة بتاريخ 14 نوفمبر أن محترفي صناعة الأمن كانوا يطلقون الإنذار بشأن CVE-2025-64446 في الأيام التي سبقت الكشف عنها، مشيرين إلى أنها كانت تحت استغلال نشط. كما انتقدت التصحيح الصامت الظاهر.
“تصحيح الثغرات بصمت هو ممارسة سيئة راسخة تمكن المهاجمين وتضر بالمدافعين، لا سيما للأجهزة والأنظمة (بما في ذلك FortiWeb) التي تم استغلالها سابقًا في البرية”، كتبت. “نحن نعلم بالفعل أن الأمان من خلال الغموض لا يعمل؛ يراقب الخصوم إصدارات المنتجات الجديدة ويقومون بعكس هندسة التصحيحات بنشاط بغض النظر عما إذا كان الموردون يخبرون عملاءهم عن الثغرات التي تم إصلاحها أم لا. عندما تفشل شركات التكنولوجيا الشهيرة في التواصل بشأن القضايا الأمنية الجديدة، فإنها تصدر دعوة للمهاجمين بينما تختار الاحتفاظ بنفس المعلومات عن المدافعين.”
من الممكن أيضًا، كما تشير مدونات تقنية مثل Watchtowr، أن تصحيح Fortinet 8.0.2 قد أوقف الاستغلال عن غير قصد عندما أصلح الثغرة. تواصلت Dark Reading مع Fortinet للحصول على رد على الادعاءات بأن الثغرة تم تصحيحها بصمت، لكن المورد لم يرد حتى وقت النشر.
تأكد من تحديث أنظمة FortiWeb الخاصة بك لتجنب المخاطر المرتبطة بهذه الثغرة الحرجة.
