2000 атак на FortiWeb — только начало: новый 0Day стал главной целью для злоумышленников

Fortinet Trend Micro zero-day уязвимости эксплуатация
2000 атак на FortiWeb — только начало: новый 0Day стал главной целью для злоумышленников
Fortinet Trend Micro zero-day уязвимости эксплуатация

CISA выдвинула FortiWeb ультиматум из-за критической RCE-уязвимости.

image

В последние дни стало ясно, что в FortiWeb накапливались проблемы, о которых производитель предпочитал не говорить заранее. После того как Fortinet признала активную эксплуатацию критической уязвимости CVE-2025-64446, позволяющей злоумышленникам выполнять административные команды без авторизации, компания была вынуждена подтвердить ещё один опасный дефект — на этот раз связанный с выполнением системных команд уже после входа в интерфейс устройства.

Специалисты Trend Micro обнаружили уязвимость, позже получившую идентификатор CVE-2025-58034, и именно эта информация легла в основу нового экстренного предупреждения. Производитель указал, что атаки фиксировались на реальных устройствах, что потребовало ускоренного выпуска обновлений.

Уязвимость CVE-2025-58034 связана с выполнением произвольного кода через специально сформированные HTTP-запросы либо команды в CLI. Уязвимость относится к категории внедрения системных инструкций, и работающий через неё злоумышленник может выполнить произвольные операции на операционной системе устройства, если получил доступ к подлинным учётным данным. Обновление FortiWeb до актуальной версии блокирует возможность подобных манипуляций, что производитель и рекомендует сделать немедленно. По данным Trend Micro, в инфраструктурах клиентов уже зафиксировано около 2000 попыток эксплуатации.

Для американских федеральных структур ситуация стала поводом для отдельного предупреждения: CISA добавила найденный дефект в каталог активно используемых уязвимостей и потребовала установить исправление в течение 7 суток. Подобный срок считается жёстким — обычно на устранение критических ошибок отводится 15 дней, а менее опасных проблем — 30. Ведомство подчеркнуло, что такая категория дефектов используется злоумышленниками регулярно и несёт серьёзные риски для государственных ресурсов.

Остаётся открытым вопрос о взаимосвязи между недавним CVE-2025-64446 и новым инцидентом. Первая уязвимость позволяет обойти авторизацию и выполнять управляющие операции на FortiWeb без входа в интерфейс; вторая даёт возможность запускать команды уже после входа. Хотя в документации Fortinet прямого указания на связь нет, технические аналитики из Rapid7 отмечают, что временная близость публикаций, предварительное незаметное исправление обеих ошибок производителем и очевидная полезность комбинации «обход авторизации» + «выполнение системных команд» делают такую цепочку почти неизбежной. По их мнению, набор из этих двух дефектов вполне может использоваться в атаках для несанкционированного удалённого выполнения кода (RCE).

В Trend Micro пояснилм, что исследование проводилось в ходе анализа старой проблемы в FortiWeb, и в процессе проверки выяснилось, что аутентифицированные пользователи способны запускать системные инструкции через веб-интерфейс. Такая возможность открывает путь к захвату управления устройством и дальнейшему проникновению в сеть, если исправления не были установлены вовремя. Команда watchTowr ещё до официального признания Fortinet фиксировала массовые попытки эксплуатации CVE-2025-64446, что лишь усиливает предположения о системности происходящего.

На данный момент не уточнено, какие именно группировки или отдельные злоумышленники используют новую уязвимость, а также не раскрыт масштаб последствий.