کشف نقص امنیتی در فایروال FortiWeb

آژانس امنیت سایبری و زیرساخت (CISA) یک آسیب‌پذیری بحرانی تزریق SQL (CVE-2025-25257) را در فایروال وب FortiWeb فورتینت به فهرست آسیب‌پذیری‌های شناخته‌شده و مورد بهره‌برداری (KEV) خود اضافه کرده و تأیید کرده که این نقص در حملات سایبری جهانی مورد استفاده قرار گرفته است. این آسیب‌پذیری، با امتیاز CVSS 9.6 از 10، به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد کدهای SQL غیرمجاز را از طریق درخواست‌های HTTP یا HTTPS اجرا کنند. فورتینت در ۸ ژوئیه ۲۰۲۵ وصله‌های امنیتی منتشر کرده و از کاربران خواسته فوراً سیستم‌های خود را به‌روزرسانی کنند.

جزئیات آسیب‌پذیری چیست؟

• شناسه: CVE-2025-25257

• نوع تهدید: تزریق SQL (SQL Injection)

• تأثیر: اجرای کد یا دستورات غیرمجاز، استقرار وب‌شل برای دسترسی مداوم

• نسخه‌های تحت تأثیر: FortiWeb نسخه‌های 7.0.0 تا 7.0.10، 7.2.0 تا 7.2.10، 7.4.0 تا 7.4.7، 7.6.0 تا 7.6.3

• روش بهره‌برداری: ارسال درخواست‌های HTTP/HTTPS دستکاری‌شده برای اجرای دستورات SQL.

• وضعیت: وصله در نسخه‌های 7.0.11، 7.2.11، 7.4.8 و 7.6.4 منتشر شده؛ بهره‌برداری فعال گزارش شده است.

• کشف‌کنندگان: کنتارو کوانه از GMO Cybersecurity و محققان watchTowr Labs.

این نقص به مهاجمان اجازه می‌دهد وب‌شل‌هایی را روی سیستم‌های آسیب‌پذیر مستقر کنند و دسترسی مداوم به سرورها ایجاد کنند.

نقص چگونه عمل می‌کند؟

1. تزریق SQL: مهاجمان درخواست‌های HTTP/HTTPS دستکاری‌شده را برای بهره‌برداری از نقص در مکانیزم تأیید هویت FortiWeb Fabric Connector ارسال می‌کنند.

2. اجرای کد: نقص امکان اجرای دستورات SQL غیرمجاز و نوشتن فایل‌های مخرب در سیستم را فراهم می‌کند.

3. استقرار وب‌شل: مهاجمان وب‌شل‌هایی را برای دسترسی مداوم و کنترل سرورها نصب می‌کنند.

4. تشدید حمله: دسترسی ریشه‌ای (root) از طریق سوءاستفاده از تنظیمات MySQL با امتیازات بالا امکان‌پذیر است.

محققان watchTowr Labs و Shadowserver گزارش داده‌اند که از ۱۱ ژوئیه ۲۰۲۵، این نقص به‌طور گسترده مورد بهره‌برداری قرار گرفته است.

وضعیت فعلی تهدید

تا ۱۲ تیر ۱۴۰۴، CISA بهره‌برداری فعال از CVE-2025-25257 را تأیید کرده و آن را به فهرست KEV اضافه کرده است. پست‌های منتشرشده در X توسط حساب‌هایی مانند @watchtowrcyber، @0x_shaq، @The_Cyber_News و @CISACyber (۱۱ تا ۱۹ ژوئیه ۲۰۲۵) نشان‌دهنده نگرانی گسترده جامعه امنیت سایبری است. Shadowserver گزارش داده که در ۱۵ ژوئیه ۲۰۲۵، ۷۷ نمونه FortiWeb آلوده شناسایی شده است، که نسبت به ۸۵ نمونه در روز قبل کاهش یافته است. فورتینت وصله‌ها را منتشر کرده، اما وب‌سایت‌های با نسخه‌های قدیمی همچنان در معرض خطر هستند.

چگونه از خود محافظت کنیم؟

• به‌روزرسانی فوری: FortiWeb را به نسخه‌های 7.0.11، 7.2.11، 7.4.8 یا 7.6.4 ارتقا دهید.

• غیرفعال‌سازی موقت رابط: رابط‌های HTTP/HTTPS مدیریتی را تا زمان اعمال وصله غیرفعال کنید.

• محدودیت دسترسی API: دسترسی به نقاط انتهایی API Fabric Connector (/api/fabric/) را محدود کنید.

• نظارت بر لاگ‌ها: لاگ‌ها را برای فعالیت‌های مشکوک، مانند ورودهای غیرمجاز یا حساب‌های ادمین با نام‌های تصادفی، بررسی کنید.

• پشتیبان‌گیری: از داده‌ها با روش 3-2-1-1-0 (سه نسخه، دو رسانه، یک نسخه آفلاین، یک نسخه غیرقابل‌تغییر، تست بازیابی) محافظت کنید.

• آموزش مدیران: آگاهی درباره خطرات آسیب‌پذیری‌های فایروال وب را افزایش دهید.

چرا این تهدید مهم است؟

آسیب‌پذیری‌های فایروال‌های وب مانند FortiWeb، که برای حفاظت از برنامه‌های وب طراحی شده‌اند، می‌توانند به نقاط ورودی برای حملات گسترده تبدیل شوند. این نقص، با امکان اجرای کد و استقرار وب‌شل، خطر دسترسی غیرمجاز و نقض داده‌ها را افزایش می‌دهد. گزارش‌های Shadowserver نشان می‌دهد که بهره‌برداری از این نقص از ۱۱ ژوئیه ۲۰۲۵، همزمان با انتشار کد اثبات مفهوم (PoC) توسط watchTowr Labs، آغاز شده است. سازمان‌ها باید فوراً اقدام کنند تا از تهدیدات جلوگیری کنند.