Directoratul Național de Securitate Cibernetică (DNSC) a emis un avertisment privind vulnerabilitatea critică CVE-2025-64446, un defect de tip path traversal în soluția FortiWeb de la Fortinet, ce permite acces neautentificat la nivel de administrator prin cereri HTTP/HTTPS.

Vulnerabilitatea CVE-2025-64446 poate fi exploatată fără credențiale, permițând atacatorului să controleze complet dispozitivul FortiWeb și să compromită aplicațiile protejate.

Detalii tehnice ale vulnerabilității path traversal

  • Defectul se manifestă prin manipularea căii de acces în sistemul de fișiere.
  • Un simplu request special poate sări peste controalele de autentificare.
  • Impactul include crearea de conturi noi, modificarea configurațiilor și execuția de comenzi administrative.

Riscuri pentru infrastructura IT

  • Compromiterea FortiWeb poate duce la divulgarea datelor sensibile stocate în aplicații web.
  • Punctul de acces devine un vector pentru pivotarea spre rețeaua internă.
  • Atacatorii pot lansa atacuri de tip ransomware sau pot bloca servicii critice.

Confirmarea exploatării în mediul real

Fortinet a recunoscut că CVE-2025-64446 este deja exploatată în campanii active, transformând riscul într-o amenințare curentă.

Recomandări imediate pentru organizații

  • Instalați imediat patch-urile oficiale publicate de Fortinet pentru versiunile afectate.
  • Dacă actualizarea nu este posibilă, blocați temporar accesul HTTP/HTTPS la interfețele publice ale FortiWeb.
  • Monitorizați în mod constant jurnalele pentru crearea neautorizată de conturi și modificări de configurare.
  • Evaluați logurile de trafic pentru semne de interceptare sau manipulare a datelor.

Măsurile descrise de DNSC viză reducerea rapidă a suprafeței de atac și limitarea posibilității de pivotare în rețeaua internă. Fiecare organizație trebuie să prioritizeze instalarea patch-ului și să mențină monitorizarea continuă a dispozitivelor FortiWeb.

Printr-o reacție promptă și prin actualizarea regulată a sistemelor, se minimizează expunerea la vulnerabilitatea CVE-2025-64446 și se asigură protecția continuă a mediului digital.