Fortinet FortiWeb 零日漏洞(CVE-2025–64446):风险分析与防御策略
Criminal IP · 5 分钟阅读 · 2025年11月27日
一个新发现的 Fortinet FortiWeb 路径遍历漏洞,允许攻击者绕过认证,最终在受影响系统上获得管理员权限。该零日漏洞(CVE-2025–64446)自 2025 年 10 月初以来已被积极利用。多个安全研究人员分析了真实攻击中使用的恶意 HTTP 请求模式和管理员账户创建场景,并验证了有效的概念验证利用代码。该漏洞在 FortiWeb 8.0.2 版本上已无法利用,该版本似乎已悄悄修复了此问题。
11 月 14 日,Fortinet 正式确认了该漏洞,并确认其在野外被积极利用。本报告使用 Criminal IP Asset Search 分析了真实世界的暴露情况,并提供了可操作的安全建议。
威胁概述与 CVE-2025–64446 的后果
如果暴露在互联网上的 FortiWeb 实例运行的是受影响版本,攻击者可能利用该漏洞进行以下操作:
值得注意的是,威胁行为者一直在针对暴露的管理接口进行自动化扫描和基于 HTTP/HTTPS 请求的重复攻击。最早确认的利用可追溯到 2025 年 10 月 6 日。
官方补丁文档
Fortinet 已发布以下版本的修复程序:
| FortiWeb 版本 | 受影响版本 | 已修复版本 |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 ~ 8.0.1 | 更新至 8.0.2 或更高版本 |
| FortiWeb 7.6 | 7.6.0 ~ 7.6.4 | 更新至 7.6.5 或更高版本 |
| FortiWeb 7.4 | 7.4.0 ~ 7.4.9 | 更新至 7.4.10 或更高版本 |
| FortiWeb 7.2 | 7.2.0 ~ 7.2.11 | 更新至 7.2.12 或更高版本 |
| FortiWeb 7.0 | 7.0.0 ~ 7.0.11 | 更新至 7.0.12 或更高版本 |
这些补丁在漏洞开始被利用数周后才发布,且初始版本说明中未提及该漏洞。
11 月 14 日,CISA 将 CVE-2025–64446 添加到已知被利用漏洞目录,要求美国联邦机构在 7 天内完成修补。
使用 Criminal IP Asset Search 进行暴露评估
FortiWeb 的 UI HTML 模板包含字符串 <span class="title">FortiWeb</span>,这允许进行可靠的基于标题的指纹识别。
在 Criminal IP Asset Search 中使用该字符串,我们识别到以下暴露状态。
搜索查询: “<span class=”title“>FortiWeb</span>”
截至 2025 年 11 月 18 日,共识别到 871 个暴露的 FortiWeb 资产。其中,美国占比最大,其次是澳大利亚和德国的大量暴露资产。
根据 Criminal IP 的入站风险评分分析,许多实例被评为“严重”,这意味着从外部流向这些资产的流量威胁级别非常高。
上图为搜索结果中发现的一个暴露 FortiWeb IP 的 Criminal IP 详细报告页面。
对 Criminal IP Asset Search 检测到的一个暴露 FortiWeb 实例进行详细分析后,确认该 IP 的入站风险评分为 99%。这意味着该实例非常频繁地接收到来自外部的攻击性流量,当结合认证绕过零日漏洞(CVE-2025–64446)时,实际被入侵的风险显著增加。
对于开放端口配置也需谨慎。该实例不仅暴露了 80 等默认管理端口,还暴露了 2347 和 7547 等非标准端口。这种环境增加了管理接口暴露的可能性,并提供了额外的攻击向量。
此外,根据 WHOIS 分析,确认该资产位于日本大阪。Criminal IP 可以基于 ASN、地理位置和组织信息识别资产是基于云还是本地部署,表明该漏洞不仅影响传统设备,也影响基于云的 WAF/ADC 环境。
总结而言,结合入站威胁级别、端口暴露以及区域/基础设施元数据,该 FortiWeb 实例正接收到高频率的真实攻击流量,如果运行的是受影响版本,则被评估为被入侵风险极高。
应对与缓解 CVE-2025–64446 的步骤
1. 立即应用补丁(最推荐操作)
如果您运行的是受影响版本,必须立即更新到以下版本:
- 8.0.2 / 7.6.5 / 7.4.10 / 7.2.12 / 7.0.12
2. 保护管理接口
如果难以立即打补丁,必须采取以下措施:
- 禁用暴露在互联网上的 HTTP/HTTPS 管理端口
- 通过防火墙策略设置管理员访问 IP 白名单
- 将管理端口改为仅内部访问
3. 检查未授权管理员账户与配置篡改
Fortinet 建议检查以下项目:
- 是否创建了未授权的管理员账户
- 策略、路由和系统配置的变更历史
- 异常的 HTTP/HTTPS 请求模式
- WebSocket CLI 命令执行日志
4. 进行系统取证
- 检查 Webshell 和后门
- 更换管理员及集成账户的所有密码
- 分析是否在内网发生了横向移动
结论
CVE-2025–64446 是一个绕过认证过程本身并允许获取管理员权限的结构性漏洞,是 Fortinet 官方确认为“已被积极利用”的高风险零日漏洞。特别是当管理端口暴露在互联网上时,它会成为自动化攻击的目标,因此补丁应用和访问控制措施必须同时进行。Criminal IP Asset Search 可以快速识别暴露的 FortiWeb 实例,并通过基于国家、组织、位置和威胁级别的分析,准确评估整个攻击面。运维人员必须通过定期检查外部资产来最小化攻击可能性。
供参考,您还可以查阅关于 CVE-2025–24472(Fortinet FortiOS 与 FortiProxy 零日认证暴露漏洞)的文章。 CSD0tFqvECLokhw9aBeRqiwO1l5uvODrd3UUyMXSBcBZWSP22KTUqiYelp6MZ7ukZvNpXkARKN658/I3m8sdL4lvrtz7PFX2TRD4SeAcu9I2ot9SlSANGWmohz0RjLGZCYrcCoGSywWlz9TA6ovaxOQ2lVg3y/4WrLHl6QKaIJI=
