Νέες παραβιάσεις του Fortinet FortiWeb συνδέονται με δημόσια RCE exploits
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Νέες παραβιάσεις του Fortinet FortiWeb συνδέονται με δημόσια RCE exploits
https://www.secnews.gr/654138/nees-paraviaseis-fortinet-fortiweb-sindeontai-dimosia-rce-exploits/
Jul 17th 2025, 13:12
by Absenta Mia
Πολλαπλά συστήματα Fortinet FortiWeb που πρόσφατα μολύνθηκαν με web shells πιστεύεται ότι έχουν παραβιαστεί μέσω δημόσιων exploits για ένα πρόσφατα επιδιορθωμένο κενό απομακρυσμένης εκτέλεσης κώδικα (RCE), με τον αναγνωριστικό κωδικό CVE-2025-25257.
Δείτε επίσης: Fortinet και Ivanti διορθώνουν ευπάθειες υψηλής σοβαρότητας
Η είδηση για αυτή τη δραστηριότητα εκμετάλλευσης προέρχεται από την πλατφόρμα παρακολούθησης απειλών The Shadowserver Foundation, η οποία εντόπισε 85 μολύνσεις στις 14 Ιουλίου και 77 την επόμενη ημέρα.
Οι ερευνητές αναφέρουν ότι οι εν λόγω εγκαταστάσεις FortiWeb πιστεύεται ότι παραβιάστηκαν μέσω του κενού ασφαλείας CVE-2025-25257. Πρόκειται για μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα χωρίς ανάγκη προαυθεντικοποίησης, που βασίζεται σε SQL injection και επηρεάζει τις εκδόσεις FortiWeb 7.6.0 έως 7.6.3, 7.4.0 έως 7.4.7, και 7.0.0 έως 7.0.10.
Η Fortinet κυκλοφόρησε ενημερώσεις ασφαλείας στις 8 Ιουλίου 2025, καλώντας τους χρήστες να αναβαθμίσουν στις εκδόσεις FortiWeb 7.6.4, 7.4.8, 7.2.11 ή 7.0.11 και μεταγενέστερες εκδόσεις κάθε κλάδου.
Η εκμετάλλευση της ευπάθειας περιλαμβάνει την εκτέλεση SQL injection μέσω τροποποιημένων πεδίων Authorization σε HTTP αιτήματα που αποστέλλονται στο /api/fabric/device/status, με αποτέλεσμα τη δημιουργία ενός κακόβουλου αρχείου .pth μέσα στον φάκελο site-packages της Python.
Έπειτα, γίνεται απομακρυσμένη πρόσβαση σε ένα νόμιμο CGI script του FortiWeb (/cgi-bin/ml-draw.py), το οποίο ενεργοποιεί την εκτέλεση του κακόβουλου κώδικα που βρίσκεται στο .pth αρχείο, οδηγώντας σε απομακρυσμένη εκτέλεση κώδικα στη συσκευή.
Δείτε ακόμα: FortiVoice: Η Fortinet διορθώνει κρίσιμη ευπάθεια zero-day
Την περίοδο της αρχικής αναφοράς, δεν υπήρχαν αποδείξεις για ενεργή εκμετάλλευση στο διαδίκτυο. Ωστόσο, η κυκλοφορία δημόσιων εργαλείων exploit κατέστησε επιτακτική την άμεση εφαρμογή των διορθώσεων από τους διαχειριστές συστημάτων.
Νέες παραβιάσεις του Fortinet FortiWeb συνδέονται με δημόσια RCE exploits
Η σημερινή επιβεβαίωση ενεργής εκμετάλλευσης από το The Shadowserver Foundation λειτουργεί ως ηχηρό καμπανάκι για όσους δεν έχουν ακόμα εγκαταστήσει τις πιο πρόσφατες ενημερώσεις λογισμικού στις συσκευές τους. Σύμφωνα με τον οργανισμό ανάλυσης απειλών, 223 διεπαφές διαχείρισης FortiWeb εξακολουθούσαν να είναι εκτεθειμένες μέχρι και χθες, αν και δεν υπάρχει δυνατότητα να προσδιοριστεί ποια έκδοση λογισμικού χρησιμοποιούν.
Από τα παραβιασμένα συστήματα, τα περισσότερα (40) εντοπίζονται στις Ηνωμένες Πολιτείες, ενώ ακολουθούν η Ολλανδία (5), η Σιγκαπούρη (4) και το Ηνωμένο Βασίλειο (4).
Το FortiWeb είναι ένα Web Application Firewall (WAF) που χρησιμοποιείται από μεγάλες επιχειρήσεις, κυβερνητικούς οργανισμούς και παρόχους διαχειριζόμενων υπηρεσιών ασφαλείας για τον εντοπισμό και την απόκρουση ανεπιθύμητης HTTP κίνησης.
Αν η άμεση αναβάθμιση σε ασφαλή έκδοση δεν είναι εφικτή, συνιστάται να απενεργοποιηθεί η διαχειριστική διεπαφή HTTP/HTTPS ώστε να περιοριστεί η πρόσβαση στο ευάλωτο σημείο (/api/fabric/device/status).
Δείτε επίσης: Πάνω από 16.000 συσκευές Fortinet περιέχουν το symlink backdoor
Σε ευρύτερο επίπεδο, το περιστατικό υπογραμμίζει τη σημασία της συνεχούς παρακολούθησης των επιθέσεων (threat monitoring), της διαχείρισης ευπαθειών και της έγκαιρης εφαρμογής ενημερώσεων ασφαλείας σε κρίσιμες υποδομές.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Νέες παραβιάσεις του Fortinet FortiWeb συνδέονται με δημόσια RCE exploits
https://www.secnews.gr/654138/nees-paraviaseis-fortinet-fortiweb-sindeontai-dimosia-rce-exploits/
Jul 17th 2025, 13:12
by Absenta Mia
Πολλαπλά συστήματα Fortinet FortiWeb που πρόσφατα μολύνθηκαν με web shells πιστεύεται ότι έχουν παραβιαστεί μέσω δημόσιων exploits για ένα πρόσφατα επιδιορθωμένο κενό απομακρυσμένης εκτέλεσης κώδικα (RCE), με τον αναγνωριστικό κωδικό CVE-2025-25257.
Δείτε επίσης: Fortinet και Ivanti διορθώνουν ευπάθειες υψηλής σοβαρότητας
Η είδηση για αυτή τη δραστηριότητα εκμετάλλευσης προέρχεται από την πλατφόρμα παρακολούθησης απειλών The Shadowserver Foundation, η οποία εντόπισε 85 μολύνσεις στις 14 Ιουλίου και 77 την επόμενη ημέρα.
Οι ερευνητές αναφέρουν ότι οι εν λόγω εγκαταστάσεις FortiWeb πιστεύεται ότι παραβιάστηκαν μέσω του κενού ασφαλείας CVE-2025-25257. Πρόκειται για μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα χωρίς ανάγκη προαυθεντικοποίησης, που βασίζεται σε SQL injection και επηρεάζει τις εκδόσεις FortiWeb 7.6.0 έως 7.6.3, 7.4.0 έως 7.4.7, και 7.0.0 έως 7.0.10.
Η Fortinet κυκλοφόρησε ενημερώσεις ασφαλείας στις 8 Ιουλίου 2025, καλώντας τους χρήστες να αναβαθμίσουν στις εκδόσεις FortiWeb 7.6.4, 7.4.8, 7.2.11 ή 7.0.11 και μεταγενέστερες εκδόσεις κάθε κλάδου.
Η εκμετάλλευση της ευπάθειας περιλαμβάνει την εκτέλεση SQL injection μέσω τροποποιημένων πεδίων Authorization σε HTTP αιτήματα που αποστέλλονται στο /api/fabric/device/status, με αποτέλεσμα τη δημιουργία ενός κακόβουλου αρχείου .pth μέσα στον φάκελο site-packages της Python.
Έπειτα, γίνεται απομακρυσμένη πρόσβαση σε ένα νόμιμο CGI script του FortiWeb (/cgi-bin/ml-draw.py), το οποίο ενεργοποιεί την εκτέλεση του κακόβουλου κώδικα που βρίσκεται στο .pth αρχείο, οδηγώντας σε απομακρυσμένη εκτέλεση κώδικα στη συσκευή.
Δείτε ακόμα: FortiVoice: Η Fortinet διορθώνει κρίσιμη ευπάθεια zero-day
Την περίοδο της αρχικής αναφοράς, δεν υπήρχαν αποδείξεις για ενεργή εκμετάλλευση στο διαδίκτυο. Ωστόσο, η κυκλοφορία δημόσιων εργαλείων exploit κατέστησε επιτακτική την άμεση εφαρμογή των διορθώσεων από τους διαχειριστές συστημάτων.
Νέες παραβιάσεις του Fortinet FortiWeb συνδέονται με δημόσια RCE exploits
Η σημερινή επιβεβαίωση ενεργής εκμετάλλευσης από το The Shadowserver Foundation λειτουργεί ως ηχηρό καμπανάκι για όσους δεν έχουν ακόμα εγκαταστήσει τις πιο πρόσφατες ενημερώσεις λογισμικού στις συσκευές τους. Σύμφωνα με τον οργανισμό ανάλυσης απειλών, 223 διεπαφές διαχείρισης FortiWeb εξακολουθούσαν να είναι εκτεθειμένες μέχρι και χθες, αν και δεν υπάρχει δυνατότητα να προσδιοριστεί ποια έκδοση λογισμικού χρησιμοποιούν.
Από τα παραβιασμένα συστήματα, τα περισσότερα (40) εντοπίζονται στις Ηνωμένες Πολιτείες, ενώ ακολουθούν η Ολλανδία (5), η Σιγκαπούρη (4) και το Ηνωμένο Βασίλειο (4).
Το FortiWeb είναι ένα Web Application Firewall (WAF) που χρησιμοποιείται από μεγάλες επιχειρήσεις, κυβερνητικούς οργανισμούς και παρόχους διαχειριζόμενων υπηρεσιών ασφαλείας για τον εντοπισμό και την απόκρουση ανεπιθύμητης HTTP κίνησης.
Αν η άμεση αναβάθμιση σε ασφαλή έκδοση δεν είναι εφικτή, συνιστάται να απενεργοποιηθεί η διαχειριστική διεπαφή HTTP/HTTPS ώστε να περιοριστεί η πρόσβαση στο ευάλωτο σημείο (/api/fabric/device/status).
Δείτε επίσης: Πάνω από 16.000 συσκευές Fortinet περιέχουν το symlink backdoor
Σε ευρύτερο επίπεδο, το περιστατικό υπογραμμίζει τη σημασία της συνεχούς παρακολούθησης των επιθέσεων (threat monitoring), της διαχείρισης ευπαθειών και της έγκαιρης εφαρμογής ενημερώσεων ασφαλείας σε κρίσιμες υποδομές.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz