Vulnerabilità critica CVE-2025-64446 Fortinet FortiWeb, patch urgente

La sicurezza informatica delle infrastrutture aziendali è messa a dura prova dalla scoperta di CVE-2025-64446, una vulnerabilità critica che colpisce i dispositivi Fortinet FortiWeb. Questa falla di sicurezza rappresenta una minaccia concreta e immediata per migliaia di organizzazioni che utilizzano questi sistemi di protezione web. Con un punteggio CVSS che raggiunge i 9.8 punti e prove di sfruttamento attivo già documentate, CVE-2025-64446 richiede un’azione immediata da parte di tutti gli amministratori IT.

Cos’è la vulnerabilità CVE-2025-64446 e come funziona

CVE-2025-64446 è classificata come una vulnerabilità di path traversal relativo (CWE-23) che affligge l’interfaccia di gestione GUI dei dispositivi FortiWeb. Il difetto permette a un attaccante non autenticato di bypassare completamente i controlli di sicurezza e ottenere privilegi amministrativi sul sistema.

La tecnica di exploit è particolarmente insidiosa perché sfrutta una combinazione di vulnerabilità:

• Path traversal: Gli attaccanti manipolano il percorso delle richieste HTTP per accedere a file e directory non autorizzati
• Bypass dell’autenticazione: Un meccanismo difettoso nell’header HTTP CGIINFO consente l’accesso senza credenziali valide
• Esecuzione di comandi amministrativi: Una volta ottenuto l’accesso, è possibile creare account amministrativi e modificare configurazioni critiche

La tecnica di sfruttamento in dettaglio

Il processo di attacco segue uno schema preciso che gli esperti di sicurezza hanno già documentato negli sfruttamenti attivi. Gli attaccanti inviano una richiesta POST crafted all’endpoint vulnerabile:

/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi

Questa richiesta sfrutta la tecnica di path traversal per raggiungere l’eseguibile fwbcgi, aggirando i controlli di sicurezza implementati nell’interfaccia standard. Il punto critico dell’attacco risiede nell’uso dell’header HTTP CGIINFO, che viene codificato in Base64 e contiene dati JSON falsificati.

Questa manipolazione consente agli attaccanti di:

• Simulare una sessione autenticata senza fornire credenziali valide
• Eseguire comandi con privilegi amministrativi
• Creare nuovi account amministrativi per mantenere l’accesso persistente
• Modificare configurazioni di sicurezza critiche

Impatto e rischi per le organizzazioni

L’impatto di CVE-2025-64446 va ben oltre la compromissione del singolo dispositivo FortiWeb. Una volta ottenuto il controllo amministrativo, gli attaccanti possono:

Compromissione dell’infrastruttura di sicurezza

FortiWeb funge spesso da punto di controllo critico per la sicurezza delle applicazioni web. La sua compromissione può disabilitare protezioni essenziali contro attacchi DDoS, iniezioni SQL e altre minacce web.

Movimento laterale nella rete

I dispositivi Fortinet sono tipicamente integrati in ecosistemi di sicurezza più ampi. Un attaccante può sfruttare questa posizione privilegiata per:

• Accedere ad altri dispositivi Fortinet nella rete
• Intercettare e modificare il traffico di rete
• Ottenere informazioni sensibili sui sistemi protetti
• Utilizzare il dispositivo come punto di partenza per ulteriori attacchi

Persistenza dell’attacco

La capacità di creare account amministrativi permette agli attaccanti di mantenere l’accesso anche dopo eventuali riavvii o aggiornamenti parziali, rendendo la bonifica particolarmente complessa.

Versioni colpite e soluzioni di patch

Fortinet ha identificato le seguenti versioni come vulnerabili a CVE-2025-64446:

FortiWeb 8.0.x

• Versioni vulnerabili: 8.0.0 – 8.0.1
• Patch disponibile: Aggiornare a 8.0.2 o versioni successive

FortiWeb 7.6.x

• Versioni vulnerabili: 7.6.0 – 7.6.4
• Patch disponibile: Aggiornare a 7.6.5 o versioni successive

FortiWeb 7.0.x

• Versioni vulnerabili: 7.0.0 – 7.0.11
• Patch disponibile: Aggiornare a 7.0.12 o versioni successive

È fondamentale verificare immediatamente la versione del firmware in uso e procedere con l’aggiornamento se il sistema risulta vulnerabile.

Raccomandazioni immediate per la sicurezza

Date la gravità della vulnerabilità e l’evidenza di sfruttamenti attivi, le autorità di sicurezza internazionali, inclusa la CISA americana, hanno emesso raccomandazioni urgenti per tutti gli utenti FortiWeb.

Azioni immediate richieste

La CISA ha inserito CVE-2025-64446 nel catalogo delle vulnerabilità note e sfruttate (Known Exploited Vulnerabilities) con una scadenza di remediation fissata al 21 novembre 2025. Questo significa che tutte le organizzazioni federali americane devono aver applicato le patch entro tale data.

Le azioni prioritarie includono:

1. Applicazione immediata delle patch: Scaricare e installare gli aggiornamenti di sicurezza distribuiti da Fortinet senza ritardi
2. Isolamento dell’interfaccia di gestione: Disabilitare temporaneamente l’accesso HTTP/HTTPS pubblico all’interfaccia di gestione fino all’applicazione della patch
3. Implementazione di controlli di accesso: Limitare l’accesso alle interfacce di gestione tramite firewall specifici e connessioni VPN sicure
4. Monitoraggio intensivo: Controllare i log di sistema per identificare account amministrativi creati in modo sospetto o attività anomale

Misure di mitigazione temporanee

Per le organizzazioni che non possono applicare immediatamente la patch, alcune misure di mitigazione possono ridurre il rischio:

• Configurare il firewall per bloccare l’accesso esterno alle porte di gestione (tipicamente 443 e 80)
• Implementare autenticazione multi-fattore per tutti gli accessi amministrativi
• Attivare il logging dettagliato per tutte le attività di gestione
• Utilizzare sistemi di monitoraggio per rilevare tentativi di accesso non autorizzati

Procedure di verifica e bonifica

Dopo aver applicato le patch di sicurezza, è essenziale verificare che il sistema non sia già stato compromesso:

Controllo degli account amministrativi

Verificare che tutti gli account amministrativi presenti sul sistema siano legittimi e autorizzati. Eliminare immediatamente qualsiasi account sospetto o non riconosciuto.

Analisi dei log di accesso

Esaminare i log di accesso per identificare:

• Tentativi di accesso all’endpoint vulnerabile /api/v2.0/cmdb/system/admin
• Richieste POST sospette con path traversal
• Creazione di nuovi account amministrativi in date recenti
• Attività di configurazione non autorizzate

Verifica dell’integrità delle configurazioni

Controllare che tutte le configurazioni di sicurezza siano conformi alle policy aziendali e che non siano state modificate da attori non autorizzati.

La vulnerabilità CVE-2025-64446 rappresenta una delle minacce più serie per l’infrastruttura FortiWeb dell’ultimo periodo. La combinazione di un punteggio CVSS critico, sfruttamenti attivi documentati e la facilità di esecuzione dell’attacco rende indispensabile un intervento immediato. Le organizzazioni che utilizzano dispositivi FortiWeb devono considerare questa vulnerabilità come una priorità assoluta, applicando le patch di sicurezza e implementando le misure di mitigazione consigliate senza ulteriori ritardi. La sicurezza dell’intera infrastruttura IT può dipendere dalla rapidità con cui si risponde a questa minaccia.