Kritik Bir Güvenlik Açığı Fortinet FortiWeb'i Tam Devralmaya Maruz Bırakıyor (CVE-2025-25257)

WatchTowr Labs, kimliği doğrulanmamış uzaktan kod yürütülmesine olanak tanıyan kritik bir FortiWeb SQL enjeksiyonu olan CVE-2025-25257'yi ortaya çıkardı. Sistemin tamamının tehlikeye girmesini önlemek için FortiWeb 7.0, 7.2, 7.4 ve 7.6 cihazlarınızı hemen yamalayın. HEMEN GÜNCELLE!

Siber güvenlik araştırmacıları, Fortinet'in güvenlik yazılımının önemli bir parçası olan FortiWeb Fabric Connector'da , Fortinet'in web uygulama güvenlik duvarını (FortiWeb) diğer güvenlik araçlarıyla bağlayarak dinamik korumaları mümkün kılan CVE-2025-25257 numaralı büyük bir zayıflığı ortaya çıkardı.

Güvenlik açığı ilk olarak GMO Cybersecurity by Ierae'den Kentaro Kawane tarafından Fortinet'e bildirildi . Daha sonra güvenlik açığının tam sistem kontrolüne yükseltilmesinin gösterimi watchTowr Labs tarafından gerçekleştirilip yayınlandı ve bulgular yalnızca Hackread.com ile paylaşıldı.

Bu, "GUI'de kimliği doğrulanmamış SQL enjeksiyonu" açığıdır; bu, saldırganların kullanıcı adı veya parolaya ihtiyaç duymadan sistemin yönetim arayüzündeki bir zayıflıktan yararlanabileceği ve FortiWeb sistemini, internet üzerinden özel olarak tasarlanmış istekler göndererek kendi zararlı komutlarını çalıştırması için kandırabileceği anlamına gelir.

WatchTowr Labs, FortiWeb 7.6.4 sürümünü daha eski bir sürüm olan 7.6.3 ile karşılaştırarak bu gizli sorunu keşfetti. /bin/httpsd programındaki get_fabric_user_by_token işlevindeki zayıflığı tespit ettiler. FortiGate güvenlik duvarları gibi diğer Fortinet cihazlarından yapılan oturum açma işlemleri için tasarlanan bu işlev, gelen bilgileri düzgün bir şekilde kontrol edemedi ve /api/fabric/device/status adresine yapılan isteklerde Authorisation: Bearer başlığını kullanarak zararlı komutların enjekte edilmesine olanak sağladı.

İlk denemeler, komutlarda boşluklara izin vermeme gibi sınırlamalar nedeniyle zorluydu. Ancak araştırmacılar, MySQL'in yorum sözdizimini (/**/) kullanarak bunu akıllıca aştılar. Bu, SQL enjeksiyonunu başarılı kıldı ve hatta basit bir 'or'1'='1 komutuyla oturum açma kontrolünü tamamen atlamalarına olanak tanıdı. Bu komut, başarıyı onaylayan bir "200 OK" mesajı döndürdü.

Araştırmacılar, bu ilk SQL enjeksiyonunu Uzaktan Kod Yürütme (RCE) sistemine taşımayı başardılar. Bunu, dosyaları doğrudan sistemin dizinine yazmak için MySQL'in INTO OUTFILE ifadesini kullanarak başardılar. Kritik bir bulgu, veritabanı işleminin kök ayrıcalıklarıyla çalışması ve zararlı dosyaları neredeyse her yere yerleştirebilmesiydi.

Doğrudan çalıştırma mümkün olmasa da, /cgi-bin klasöründeki mevcut bir Python betiğinden yararlandılar ve bu betik otomatik olarak yüksek ayrıcalıklarla çalıştırıldı. Belirli bir Python dizinine özel bir Python dosyası (.pth) yazarak, sistemin kendi Python kodlarını çalıştırmasını zorunlu kılarak sistemin tamamen tehlikeye atıldığını gösterdiler.

Bir saldırgan, istismar edilmesi durumunda FortiWeb cihazınızın ve potansiyel olarak diğer bağlı sistemlerinizin tam kontrolünü ele geçirebilir. Bu durum, hassas verilerin çalınması, hizmet kesintisi veya sistemlerinizin başka saldırılar için kullanılması riskini doğurarak önemli mali, itibar ve yasal zararlara yol açabilir.

Korunmaya devam etmek için FortiWeb sisteminizi derhal yamalı sürüme güncelleyin. Hemen güncelleme yapmak mümkün değilse, Fortinet geçici bir çözüm olarak HTTP/HTTPS yönetim arayüzünü geçici olarak devre dışı bırakmanızı önerir.

Etkilenen FortiWeb sürümlerinin ayrıntıları şunlardır:

• 7.6.0'dan 7.6.3'e (7.6.4 veya daha yenisine yükseltin)

• 7.4.0'dan 7.4.7'ye (7.4.8 veya daha yenisine yükseltin)

• 7.2.0'dan 7.2.10'a (7.2.11 veya daha yenisine yükseltin)

• 7.0.0 ile 7.0.10 arası (7.0.11 veya daha yenisine yükseltin)