اعلام انتشار exploit آسیب‌پذیری بحرانی در FortiWeb توسط پژوهشگرهای امنیتی

یک پژوهشگر امنیتی partial proof-of-concept exploit برای یک آسیب‌پذیری در FortiWeb Web Application Firewall منتشر کرده است که به یک مهاجم راه‌دور امکان authentication bypass می‌دهد.

این نقص به‌صورت مسئولانه به Fortinet گزارش شد و اکنون با شناسه CVE-2025-52970 پیگیری می‌شود. Fortinet در تاریخ ۱۲ اوت وصله امنیتی مربوطه را منتشر کرده است.

پژوهشگر امنیتی Aviv Y این آسیب‌پذیری را FortMajeure نام‌گذاری کرده و آن را یک «silent failure» توصیف می‌کند. به‌طور فنی، این مشکل ناشی از یک out-of-bounds read در فرآیند cookie parsing در FortiWeb است که به مهاجم اجازه می‌دهد پارامتر Era را روی مقداری غیرمنتظره تنظیم کند.

این خطا باعث می‌شود سرور برای session encryption و HMAC signing از کلید صفر (all-zero secret key) استفاده کند. در نتیجه، ساخت authentication cookie جعلی به‌سادگی امکان‌پذیر خواهد بود.

بهره‌برداری موفق از CVE-2025-52970 منجر به full authentication bypass شده و به مهاجم امکان می‌دهد تا خود را به‌عنوان هر کاربر فعال، از جمله administrator، جا بزند.

برای اجرای موفق حمله، قربانی باید در زمان حمله یک active session داشته باشد و مهاجم لازم است یک فیلد عددی کوچک در cookie را brute-force کند. این فیلد توسط تابع refresh_total_logins() (در libncfg.so) اعتبارسنجی می‌شود. با این‌حال پژوهشگر توضیح داده است که این بازه معمولاً بیشتر از ۳۰ نیست و در عمل فضای جست‌وجو بسیار محدود (حدود ۳۰ درخواست) خواهد بود.

از آن‌جا که به‌دلیل Era bug کلید صفر استفاده می‌شود، هر حدس مهاجم به‌سرعت با بررسی پذیرش forged cookie قابل تست است.

این آسیب‌پذیری نسخه‌های FortiWeb 7.0 تا ۷٫۶ را تحت تأثیر قرار می‌دهد و در نسخه‌های زیر برطرف شده است:

• FortiWeb 7.6.4 و بالاتر
• FortiWeb 7.4.8 و بالاتر
• FortiWeb 7.2.11 و بالاتر
• FortiWeb 7.0.11 و بالاتر

بر اساس اطلاعیه Fortinet، نسخه‌های FortiWeb 8.0 تحت تأثیر این مشکل قرار ندارند. هیچ workaround یا راهکار کاهش ریسک در بولتن امنیتی ارائه نشده و تنها اقدام مؤثر، ارتقا به نسخه‌های امن است.

اگرچه امتیاز CVSS اعلام‌شده توسط Fortinet برابر با ۷٫۷ است (به دلیل «high attack complexity» در مرحله brute-forcing)، اما در عمل انجام این بخش بسیار سریع و ساده است.

پژوهشگر خروجی یک PoC را منتشر کرده که نشان‌دهنده admin impersonation در یک REST endpoint است، اما بخش کامل exploit که شامل اتصال به FortiWeb CLI از طریق مسیر /ws/cli/open نیز می‌شود، منتشر نشده است.

با این حال، Aviv Y وعده داده است که جزئیات کامل exploitation را در آینده منتشر کند، چراکه vendor advisory تنها به‌تازگی منتشر شده است. این پژوهشگر تصمیم گرفت انتشار کامل را به تعویق بیندازد تا system administrator‌ها زمان کافی برای اعمال fix داشته باشند.

جزئیات منتشرشده در حال حاضر هسته اصلی مشکل را نشان می‌دهند اما به گفته این پژوهشگر در گفت‌وگو با BleepingComputer، برای حتی مهاجمان باتجربه نیز کافی نیستند تا بتوانند زنجیره کامل و قابل بهره‌برداری (weaponized chain) را توسعه دهند.

او توضیح داده است که مهاجمان باید reverse engineering روی فرمت فیلدهای موجود در session انجام دهند، امری که عملاً دشوار است زیرا Fortinet از data structureهای اختصاصی خود استفاده می‌کند.

با این وجود، اقدام فوری برای کاهش ریسک ضروری است؛ زیرا هکرها این‌گونه اعلان‌ها را به‌دقت دنبال می‌کنند و بلافاصله پس از انتشار full PoC برای حمله آماده می‌شوند.

Aviv Y در گفت‌وگو با BleepingComputer اعلام کرده است که هنوز تاریخ مشخصی برای انتشار کامل exploit تعیین نکرده، اما قصد دارد به مدافعان زمان کافی برای واکنش به این تهدید بدهد.