В июле 2025 года в сфере кибербезопасности разгорелся новый скандал, связанный с критической уязвимостью в продукте Fortinet FortiWeb. Несмотря на оперативное появление патча и официальные заявления компании, уже в первые дни после публикации технической информации и proof-of-concept (PoC) кода, злоумышленники начали активное использование данной уязвимости на практике, что привело к взлому десятков систем по всему миру. Сложившаяся ситуация вновь демонстрирует важность своевременного обновления программного обеспечения и внимательного мониторинга угроз в корпоративных сетях. Уязвимость, обозначенная как CVE-2025-25257, получила высокий рейтинг серьезности с CVSS 9.6.
Она представляет собой SQL-инъекцию, позволяющую неавторизованным злоумышленникам внедрять и выполнять произвольные SQL-запросы через специально сформированные HTTP или HTTPS запросы. Как показали исследования, проблема заключается в недостаточной фильтрации пользовательского ввода в одной из внутренних функций FortiWeb. Это приводит к возможности удаленного выполнения кода (RCE) путем записи файлов на сервер, что существенно расширяет потенциал атаки и дает злоумышленникам полный контроль над уязвимыми системами. Fortinet оперативно отреагировала на обнаружение бреши и уже 8 июля 2025 года выпустила обновления безопасности для FortiWeb — версии 7.6.
4, 7.4.8, 7.2.11 и 7.
0.11. Источником информации о баге стала компания GMO Cybersecurity by Ierae, а именно исследователь Кента́ро Кава́нэ, что подчеркивает важность сотрудничества между разработчиками и независимыми специалистами по безопасности. Несмотря на своевременный выпуск патча, уже 11 июля техноблог watchTowr Labs опубликовал подробный анализ уязвимости и PoC-эксплойт, что в свою очередь привлекло внимание злоумышленников. Нельзя недооценивать важность расположения FortiWeb в инфраструктуре.
Это веб-приложение служит для защиты и управления входящим трафиком сети, а также непосредственно связано с управлением другими устройствами из экосистемы Fortinet. В случае компрометации FortiWeb злоумышленники получают обширные возможности для дальнейшего проникновения в сеть, распространения вредоносного ПО и кражи информации пользователей. По данным организации Shadowserver Foundation, в середине июля количество зафиксированных взломанных FortiWeb-экземпляров достигло 85, хотя к моменту написания число снизилось примерно до 35. Это указывает на то, что многие компании либо своевременно провели обновление, либо предприняли другие меры для устранения угрозы. Тем не менее, согласно сервису Censys, тысячам FortiWeb устройств имеется прямой выход в интернет, при этом точное число уязвимых систем остается неизвестным, так как невозможно однозначно определить их версии из удаленного анализа.
Активное использование уязвимости вскрывает ряд проблем, актуальных для организаций любого масштаба. Во-первых, даже после публикации важных исправлений часть компаний не успевает оперативно провести обновление программного обеспечения, зачастую из-за бюрократических или технических причин. Во-вторых, недостаточная осведомленность о потенциальных рисках и угрозах приводит к тому, что многие специалисты не сразу реагируют на появление критичных уязвимостей и способы их эксплуатации. В-третьих, сложность в мониторинге и защите веб-интерфейсов управления часто открывает злоумышленникам лазейки для проникновения. Эксплуатация CVE-2025-25257 обычно начинается с внедрения вредоносного скрипта — вебшелла, который дает атакующим удаленный доступ к скомпрометированной системе.
Через этот доступ злоумышленники могут разворачивать дополнительные инструменты для шпионажа, кражи данных или даже создания брешей для вторичных атак внутри корпоративной сети. Учитывая серьезность угрозы, специалисты по безопасности настоятельно рекомендуют немедленно применять патчи, озвученные Fortinet, и при невозможности обновления временно деактивировать административные HTTP/HTTPS интерфейсы, чтобы минимизировать возможность атаки. Современные кибератаки становятся все более изощренными, а уязвимости в продуктах известных вендоров, таких как Fortinet, нередко оказываются лакомым кусочком для киберпреступников. Скорость распространения эксплойтов после публикации PoC кода подчеркивает необходимость постоянного мониторинга информационного поля и быстрого реагирования на инциденты. Кроме того, дополняющие меры безопасности — сегментация сети, усиленный контроль доступа, применение многофакторной аутентификации и регулярные аудиты — помогают минимизировать потенциальный ущерб.
В контексте глобальных тенденций Fortinet также выступила с дополнительными рекомендациями и анонсировала обновления безопасности для других продуктов, трагично проявившихся при интенсивных кибератаках. Компания выражает признательность исследователям, своевременно выявляющим уязвимости, и призывает пользователей оставаться на связи с официальными источниками и своевременно внедрять обновления. Подводя итог, инцидент с Fortinet FortiWeb стал очередным доказательством того, что киберугрозы не знают региональных и корпоративных границ. Для обеспечения максимальной защиты бизнеса необходимо отслеживать новые уязвимости, уделять внимание безопасности ключевых инфраструктурных компонентов и немедленно внедрять рекомендованные патчи. Игнорирование подобных угроз может привести к значительным финансовым потерям, ущербу репутации и утечкам критически важной информации.
В условиях усиливающейся цифровизации и роста числа подключенных устройств важным трендом становится интеграция искусственного интеллекта и автоматизированных систем управления безопасностью. Однако ни одна из них не заменит ответственности IT-специалистов и руководства компаний за своевременное внедрение обновлений и организацию комплексной системы защиты. Мониторинг текущей ситуации и анализ инцидентов, подобных атаке на FortiWeb, помогает компаниям лучше подготовиться к будущим вызовам и поддерживать высокий уровень киберустойчивости в эпоху новых цифровых рисков.
