Fortinet FortiWeb 零日漏洞(CVE-2025–64446):风险评估与防御策略
Criminal IP · 5 分钟阅读 · 2025年11月27日
一个新发现的 Fortinet FortiWeb 路径遍历漏洞,允许攻击者绕过身份验证,最终在受影响系统上获取管理员权限。该零日漏洞(CVE-2025–64446)自 2025 年 10 月初以来已被积极利用。多个安全研究人员分析了实际攻击中使用的恶意 HTTP 请求模式和管理员账户创建场景,并验证了可用的概念验证利用代码。该漏洞在 FortiWeb 8.0.2 版本中已无法利用,该版本似乎已悄悄修复了此问题。
11 月 14 日,Fortinet 正式确认了该漏洞,并确认其在野外被积极利用。本报告使用 Criminal IP Asset Search 分析真实世界的暴露情况,并提供可操作的缓解建议。
威胁概述与 CVE-2025–64446 的后果
如果面向互联网的 FortiWeb 实例运行在受影响版本上,攻击者可能利用该漏洞:
- 绕过认证控制
- 创建未授权管理员账户
- 完全控制受影响的设备
值得注意的是,威胁行为者一直在针对暴露的管理接口进行自动化扫描和基于 HTTP/HTTPS 请求的重复攻击。最早确认的利用行为可追溯至 2025 年 10 月 6 日。
官方补丁文档
Fortinet 已发布以下版本的修复:
| FortiWeb 版本 | 受影响版本 | 修复版本 |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 ~ 8.0.1 | 升级到 8.0.2 或更高 |
| FortiWeb 7.6 | 7.6.0 ~ 7.6.4 | 升级到 7.6.5 或更高 |
| FortiWeb 7.4 | 7.4.0 ~ 7.4.9 | 升级到 7.4.10 或更高 |
| FortiWeb 7.2 | 7.2.0 ~ 7.2.11 | 升级到 7.2.12 或更高 |
| FortiWeb 7.0 | 7.0.0 ~ 7.0.11 | 升级到 7.0.12 或更高 |
这些补丁在漏洞开始被利用数周后才发布,且初始版本说明中未提及该漏洞。
11 月 14 日,CISA 将 CVE-2025–64446 加入已知被利用漏洞(KEV)目录,要求美国联邦机构在 7 天内完成修补。
使用 Criminal IP Asset Search 进行暴露评估
FortiWeb 的 UI HTML 模板包含字符串 <span class="title">FortiWeb</span>,可用于基于标题的可靠指纹识别。
在 Criminal IP Asset Search 中使用该字符串进行搜索,我们发现以下暴露情况。
搜索查询: “<span class=”title”>FortiWeb</span>”
截至 2025 年 11 月 18 日,共识别出 871 个暴露的 FortiWeb 资产。其中美国占比最大,其次是澳大利亚和德国的大量暴露资产。
根据 Criminal IP 的入站评分分析,许多实例被评为“严重”,意味着从外部流向这些资产的流量威胁等级非常高。
上图是 Criminal IP 针对搜索结果中某个暴露 FortiWeb IP 的详细报告页面。
对 Criminal IP Asset Search 检测到的一个暴露 FortiWeb 实例进行详细分析后,确认该 IP 的入站风险评分为 99%。这意味着该实例非常频繁地从外部接收到攻击性流量,结合认证绕过零日漏洞(CVE-2025–64446),实际被攻陷的风险显著增加。
开放端口配置也需谨慎。该实例不仅暴露了默认管理端口(如 80),还暴露了 2347 和 7547 等非标准端口。这种环境增加了管理接口暴露的可能性,并提供了额外的攻击向量。
此外,根据 WHOIS 分析,该资产确认位于日本大阪。Criminal IP 可基于 ASN、地理位置和组织信息判断资产是基于云还是本地部署,表明该漏洞不仅影响传统设备,也影响基于云的 WAF/ADC 环境。
总结而言,结合入站威胁等级、端口暴露情况和区域/基础设施元数据,该 FortiWeb 实例正接收到高频率的真实攻击流量,若运行在受影响版本上,被攻陷风险极高。
CVE-2025–64446 的应对与缓解步骤
1. 立即应用补丁(最推荐操作)
如果您正在运行受影响版本,必须立即升级到以下版本:
- 8.0.2
- 7.6.5
- 7.4.10
- 7.2.12
- 7.0.12
2. 保护管理接口
如果难以立即打补丁,必须采取以下措施:
- 禁用面向互联网的 HTTP/HTTPS 管理端口
- 通过防火墙策略设置管理员访问 IP 白名单
- 将管理端口改为仅内网访问
3. 检查未授权管理员账户和配置篡改
Fortinet 建议检查以下项目:
- 是否创建了未授权的管理员账户
- 策略、路由和系统配置的更改历史
- 异常的 HTTP/HTTPS 请求模式
- WebSocket CLI 命令执行日志
4. 进行系统取证
- 检查 Webshell 和后门
- 更换管理员及集成账户的所有密码
- 分析是否在内网发生横向移动
结论
CVE-2025–64446 是一个结构性的认证绕过漏洞,允许获取管理员权限,是 Fortinet 官方确认为“已被积极利用”的高风险零日漏洞。尤其当管理端口暴露在互联网上时,会成为自动化攻击的目标,因此补丁应用和访问控制措施必须同步进行。Criminal IP Asset Search 可快速识别暴露的 FortiWeb 实例,并通过基于国家、组织、地理位置和威胁等级的分析,准确评估整体攻击面。运维人员必须通过定期外部资产检查,最大限度降低攻击概率。
参考信息:可查阅关于 CVE-2025–24472(Fortinet FortiOS 与 FortiProxy 零日认证暴露漏洞)的相关文章。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyH03rohIrp6XIs0l6DnyNm6DLatun4L7P8AF6WtT5Cz97wd8k9qvxEfRvGodp64NEMHxiWLCzGXZK0h59TQZ3NYqNSTAM136gCrHxIIg8vPul3EsGyBQwO7jMuN8nhuyEnDi3Ujb+UyLk7ySODvxk7M
