Kritische Sicherheitslücke setzt Fortinet FortiWeb einer vollständigen Übernahme aus (CVE-2025-25257)

WatchTowr Labs deckt CVE-2025-25257 auf, eine kritische SQL-Injection für FortiWeb, die unauthentifizierte Remote-Codeausführung ermöglicht. Patchen Sie Ihre FortiWeb 7.0-, 7.2-, 7.4- und 7.6-Geräte umgehend, um eine vollständige Systemkompromittierung zu verhindern. JETZT aktualisieren!

Cybersicherheitsforscher haben eine schwerwiegende Schwachstelle ( CVE-2025-25257 ) in einem zentralen Teil der Sicherheitssoftware von Fortinet entdeckt: dem FortiWeb Fabric Connector , der für die Verknüpfung der Web Application Firewall (FortiWeb) von Fortinet mit anderen Sicherheitstools von entscheidender Bedeutung ist und so dynamischen Schutz ermöglicht.

Die Sicherheitslücke wurde Fortinet erstmals von Kentaro Kawane von GMO Cybersecurity by Ierae gemeldet . Die anschließende Demonstration der Ausweitung der Sicherheitslücke bis hin zur vollständigen Systemkontrolle wurde von watchTowr Labs durchgeführt und veröffentlicht . Die Ergebnisse wurden exklusiv mit Hackread.com geteilt.

Dabei handelt es sich um eine Schwachstelle, die eine „nicht authentifizierte SQL-Injection in der GUI“ ermöglicht. Das bedeutet, dass Angreifer eine Schwachstelle in der Verwaltungsschnittstelle des Systems ausnutzen können, ohne dass ein Benutzername oder Passwort erforderlich ist. Sie können das FortiWeb-System dazu verleiten, eigene schädliche Befehle auszuführen, indem sie speziell entwickelte Anfragen über das Internet senden.

WatchTower Labs entdeckte dieses versteckte Problem durch einen Vergleich von FortiWeb Version 7.6.4 mit der älteren Version 7.6.3. Sie identifizierten die Schwachstelle in der Funktion get_fabric_user_by_token im Programm /bin/httpsd . Diese Funktion, die für Anmeldungen von anderen Fortinet-Geräten wie FortiGate-Firewalls vorgesehen ist, überprüfte eingehende Informationen nicht ordnungsgemäß und ermöglichte so die Einschleusung schädlicher Befehle über den Header „Authorisation: Bearer“ in Anfragen an /api/fabric/device/status .

Erste Versuche gestalteten sich aufgrund von Einschränkungen wie dem Verbot von Leerzeichen in Befehlen schwierig. Forscher umgingen dies jedoch geschickt mithilfe der MySQL-Kommentarsyntax (/**/) . Dadurch war die SQL-Injection erfolgreich und ermöglichte es den Forschern sogar, die Login-Prüfung mit einem einfachen 'or'1'='1 -Befehl vollständig zu umgehen. Dieser gab die Meldung „200 OK“ zurück, die den Erfolg bestätigte.

Den Forschern gelang es, diese anfängliche SQL-Injection zu Remote Code Execution (RCE) auszubauen. Dies gelang ihnen mithilfe der MySQL-Anweisung INTO OUTFILE, die Dateien direkt in das Systemverzeichnis schrieb. Ein kritischer Befund war, dass der Datenbankprozess mit Root-Rechten ausgeführt wurde und dadurch schädliche Dateien nahezu überall platzieren konnte.

Obwohl eine direkte Ausführung nicht möglich war, nutzten sie ein vorhandenes Python-Skript im Ordner /cgi-bin , das automatisch mit hohen Berechtigungen ausgeführt wurde. Durch das Schreiben einer speziellen Python-Datei (.pth) in ein bestimmtes Python-Verzeichnis konnten sie das System zwingen, ihren eigenen Python-Code auszuführen, was eine vollständige Systemkompromittierung demonstrierte.

Bei einem Angriff könnte ein Angreifer die vollständige Kontrolle über Ihr FortiWeb-Gerät und möglicherweise auch über andere angeschlossene Systeme erlangen. Dies birgt die Gefahr des Diebstahls sensibler Daten, von Dienstunterbrechungen oder der Nutzung Ihrer Systeme für weitere Angriffe, was zu erheblichen finanziellen, rufschädigenden und rechtlichen Schäden führen kann.

Um geschützt zu bleiben, aktualisieren Sie Ihr FortiWeb-System umgehend auf die aktualisierte Version . Falls ein sofortiges Update nicht möglich ist, empfiehlt Fortinet, die HTTP/HTTPS-Verwaltungsoberfläche vorübergehend zu deaktivieren.

Hier sind die Details der betroffenen FortiWeb-Versionen: