Una nuova vulnerabilità critica colpisce FortiWeb, la soluzione Web Application Firewall (WAF) di Fortinet progettata per proteggere siti web e applicazioni aziendali da numerosi attacchi, tra cui le zero-day. Identificata come CVE-2025-25257 e con un punteggio CVSS di 9.6 su 10, questa falla apre la porta a rischi severi, tra cui tentativi di accesso non autorizzato, esecuzione di comandi SQL e persino esecuzione remota di codice (RCE), che espone le organizzazioni a potenziali compromissioni totali dei sistemi.
Cosa sappiamo della vulnerabilità CVE-2025-25257
La vulnerabilità è una SQL injection non autenticata localizzata nell’endpoint /api/fabric/device/status. Gli attaccanti, sfruttando questa debolezza, possono inviare richieste HTTP o HTTPS appositamente costruite ed eseguire comandi arbitrari nei database sottostanti, senza necessità di autenticazione. Questo espone i dispositivi vulnerabili sia a furto di dati sia a manipolazione delle informazioni e installazione di backdoor persistenti.
Versioni FortiWeb impattate
Le versioni vulnerabili sono:
- FortiWeb 7.6.0 – 7.6.3 (aggiornare almeno alla 7.6.4)
- FortiWeb 7.4.0 – 7.4.7 (aggiornare almeno alla 7.4.8)
- FortiWeb 7.2.0 – 7.2.10 (aggiornare almeno alla 7.2.11)
- FortiWeb 7.0.0 – 7.0.10 (aggiornare almeno alla 7.0.11)
Tutti i dispositivi non aggiornati sono potenzialmente vulnerabili.
Dettagli tecnici ed exploitabilità
L’attacco sfrutta la mancata sanificazione del Bearer token presente nell’header di autorizzazione della richiesta HTTP. L’iniezione consente di manipolare le query SQL passando direttamente attraverso una chiamata API, che nella pratica può anche essere utilizzata per scrivere file arbitrari sul server (ad esempio tramite la funzione MySQL INTO OUTFILE). Questa tecnica può essere ulteriormente combinata con caratteristiche di esecuzione automatica (caricando Python .pth files o sfruttando script CGI già presenti nei percorsi noti del sistema) per ottenere esecuzione di codice remoto sulla macchina bersaglio.
Secondo ricerche di intelligence, risultano pubblicamente accessibili su internet oltre 5.000 appliance FortiWeb vulnerabili, aumentando sensibilmente la superficie di attacco per minacce automatizzate e mirate.
Rischi concreti per aziende e PA
Se correttamente sfruttata, questa vulnerabilità consente:
- Accesso non autorizzato alle strutture di dati aziendali.
- Accesso alle credenziali e sessioni di amministrazione.
- Furto o manipolazione di dati sensibili.
- Registrazione di utenti malevoli o installazione di nuove backdoor.
- Compromissione completa del sistema FortiWeb e dei servizi collegati.
- Potenziale utilizzo della WAF come base per attacchi interni alla rete.
Pur non essendo stati ancora segnalati exploit attivi, la rapidità con cui la notizia si è diffusa nella community infosec rappresenta un altissimo livello di minaccia imminente.
Misure immediate consigliate
1. Aggiornare FortiWeb immediatamente:
Installa senza ritardi le patch ufficiali fornite da Fortinet per tutte le versioni indicate. Se l’aggiornamento non è immediatamente possibile, considera l’isolamento temporaneo dei dispositivi esposti.
2. Monitoraggio avanzato Log e traffico:
Verifica i log a caccia di richieste sospette all’endpoint /api/fabric/device/status e monitora la presenza di modifiche inattese a file o configurazioni.
3. Limitare l’accesso:
Restringi l’accesso alle interfacce di gestione di FortiWeb solo a host e reti fidate (implementando ACL o VPN) ed escludi la raggiungibilità pubblica.
4. Rilevamento di exploit:
Implementa regole personalizzate nei sistemi IDS/IPS per intercettare richieste malevole alle API critiche. Utilizza tool open source e servizi di threat intelligence per ricevere aggiornamenti in tempo reale sugli indicatori di compromissione (IoC).
5. Reimpostare credenziali:
Dopo la correzione, effettua un reset di tutte le password amministrative e rivedi le policy di gestione accessi per escludere intrusioni non rilevate.
6. Verificare la presenza di file malevoli:
Controlla le cartelle cgi-bin e la presenza di file .py, .pth o altri oggetti anomali e non previsti nei percorsi critici del sistema.
Migliori pratiche future per la messa in sicurezza
- Aggiornamenti regolari: Mantenere sempre aggiornati tutti i dispositivi di sicurezza, con patch management centralizzato e politiche di aggiornamento regolari.
- Network segmentation: Isola le soluzioni WAF dal resto della infrastruttura produttiva e limita il traffico alle sole comunicazioni necessarie.
- Hardening delle API: Non esporre pubblicamente interfacce API sensibili; implementare autenticazioni forti e monitoraggio attivo delle chiamate API.
- Penetration test periodici: Commissiona regolarmente test di sicurezza interni ed esterni per identificare tempestivamente nuove vulnerabilità.
- Backup regolari: Predisponi backup automatici configurati in modo sicuro e testali con procedure di ripristino rapide.
La tempestiva individuazione e risoluzione delle vulnerabilità in prodotti strategici come FortiWeb rappresenta una sfida costante per tutte le organizzazioni. L’episodio di CVE-2025-25257 evidenzia ancora una volta come l’aggiornamento continuo e la cultura della sicurezza siano requisiti fondamentali per prevenire violazioni che, partendo da una semplice vulnerabilità, possono compromettere l’intera azienda.
Agisci subito: aggiorna i tuoi dispositivi, rafforza la sicurezza operativa e partecipa attivamente alla formazione e sensibilizzazione del personale IT.
Risorse aggiuntive
- Consulta il Fortinet PSIRT per tutti i dettagli tecnici sulle patch.
- Verifica la presenza di ulteriori indicazioni e tool presso la community di cybersecurity e gli advisory dei principali CERT nazionali.
L’attenzione e la proattività sono le armi migliori contro le nuove minacce informatiche.
Fonte: https://cybersecuritynews.com/fortinet-fortiweb-instances-hacked
