Fortinet-Sicherheitslücke bedroht Unternehmensnetzwerke

LONDON (IT BOLTWISE) – Die jüngste Aufnahme einer kritischen Sicherheitslücke in Fortinet FortiWeb durch die U.S. Cybersecurity and Infrastructure Security Agency (CISA) in ihren Katalog bekannter ausgenutzter Schwachstellen hat die Aufmerksamkeit der IT-Sicherheitsbranche auf sich gezogen. Diese Schwachstelle, die als CVE-2025-25257 verfolgt wird, stellt eine erhebliche Bedrohung für Unternehmensnetzwerke dar.

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich eine kritische Sicherheitslücke in Fortinet FortiWeb in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Diese Schwachstelle, die als CVE-2025-25257 bekannt ist, hat einen CVSS-Score von 9,6 und ermöglicht es Angreifern, unautorisierte SQL-Befehle über manipulierte HTTP/HTTPS-Anfragen auszuführen. Die Ausnutzung dieser Schwachstelle begann am 11. Juli, unmittelbar nachdem ein Proof-of-Concept-Exploit veröffentlicht wurde, was zu zahlreichen kompromittierten Systemen führte.

Die Schwachstelle ist eine SQL-Injection-Schwachstelle in FortiWeb, die es Angreifern ermöglicht, unautorisierte SQL-Befehle auszuführen. Fortinet hat das Problem mit der Veröffentlichung von Sicherheitsupdates in den Versionen 7.6.4, 7.4.8, 7.2.11 und 7.0.11 behoben. Diese Sicherheitslücke wurde von Kentaro Kawane von GMO Cybersecurity im Rahmen einer verantwortungsvollen Offenlegung gemeldet.

Forscher von WatchTowr führten eine binäre Differenzanalyse des httpsd-Dienstes von Fortinet zwischen den Versionen 7.6.3 und 7.6.4 durch, um die spezifischen Änderungen zu identifizieren, die zur Behebung des Problems eingeführt wurden. Diese Analyse offenbarte das Vorhandensein eines Sicherheitspatches. Die Forscher untersuchten auch, wie die Schwachstelle zur Ausführung von Remote-Code eskaliert werden könnte, indem sie die MySQL-Funktion INTO OUTFILE nutzten, um beliebige Dateien auf das Dateisystem des Servers zu schreiben.

Aufgrund einer Fehlkonfiguration konnten Dateien als Root geschrieben werden, was zu schwerwiegenderen Exploits führte. Der erste Versuch, eine Web-Shell in ein CGI-fähiges Verzeichnis zu platzieren, schlug fehl, da die Dateien nicht ausführbar waren. Die Forscher fanden jedoch ein bestehendes Python-Skript (ml-draw.py) im CGI-Verzeichnis, das von Apache über /bin/python ausgeführt wurde. Sie nutzten eine wenig bekannte Python-Funktion: .pth-Dateien, die beliebigen Code ausführen können, wenn sie eine Zeile wie import os enthalten.

Die Forscher von WatchTowr erstellten einen Detection Artifact Generator für FortiWeb CVE-2025-25257, der öffentlich verfügbar ist. Shadowserver-Forscher beobachteten, dass die Anzahl der FortiWeb-Hacks von 85 auf 35 bis zum 18. Juli sank. Die ersten Ausnutzungsversuche erfolgten am 11. Juli, kurz nachdem WatchTowr den PoC-Exploit-Code veröffentlicht hatte.

Censys fand über 20.000 Fortinet FortiWeb-Geräte online, obwohl viele nicht klar exponiert sind. Aufgrund begrenzter Informationen bleibt ihr Verwundbarkeitsstatus unbekannt. Administratoren wird dringend empfohlen, die Patches sofort anzuwenden, da öffentliche Exploits verfügbar sind. Laut der Binding Operational Directive (BOD) 22-01 müssen FCEB-Agenturen die identifizierten Schwachstellen bis zum Fälligkeitsdatum beheben, um ihre Netzwerke vor Angriffen zu schützen, die die Schwachstellen im Katalog ausnutzen.

Experten empfehlen auch privaten Organisationen, den Katalog zu überprüfen und die Schwachstellen in ihrer Infrastruktur zu beheben. CISA hat Bundesbehörden angewiesen, die Schwachstellen bis zum 8. August 2025 zu beheben.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!