![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科FortiWeb 身份验证绕过漏洞曝光,攻击者可快速劫持管理员权限](https://www.anquan114.com/wp-content/uploads/2025/08/20250819125317118-image.png)
一位安全研究人员发布了针对 FortiWeb Web 应用防火墙中一个漏洞的部分概念验证(PoC)利用代码。该漏洞允许远程攻击者绕过身份验证。
该漏洞已负责任地报告给 Fortinet,现被追踪为 CVE-2025-52970。Fortinet 已于 8 月 12 日发布了修复程序。
安全研究员 Aviv Y 将此漏洞命名为 FortMajeure,并描述其为“一种本不应发生的静默失效”。从技术上讲,这是 FortiWeb 的 cookie 解析过程中的一个越界读取(out-of-bounds read)漏洞,允许攻击者将 Era参数设置为非预期值。
这导致服务器使用全零密钥(all-zero secret key)进行会话加密和 HMAC 签名,使得伪造身份验证 cookie 变得轻而易举。
成功利用该漏洞会导致完全的身份验证绕过,允许攻击者冒充任何活跃用户,包括管理员。
要成功利用 CVE-2025-52970,目标用户在攻击期间必须拥有活跃会话,并且攻击者必须暴力破解 cookie 中的一个小的数字字段。
这个暴力破解要求源于签名 cookie 中的一个字段,该字段由 libncfg.so中的 refresh_total_logins()函数进行验证。
该字段是一个攻击者必须猜测的未知数字,但研究员指出其范围通常不会超过 30,这使其搜索空间非常小,大约只需 30 次请求。
由于该利用利用了全零密钥(归因于 Era漏洞),每次猜测都可以通过检查伪造的 cookie 是否被接受来即时验证。
该问题影响 FortiWeb 7.0 至 7.6 版本,并已在以下版本中修复:
- FortiWeb 7.6.4 及更高版本
- FortiWeb 7.4.8 及更高版本
- FortiWeb 7.2.11 及更高版本
- FortiWeb 7.0.11 及更高版本
Fortinet 在公告中表示,FortiWeb 8.0 版本不受此问题影响,因此用户无需采取任何措施。
安全公告未列出任何变通办法或缓解建议,因此升级到安全版本是唯一推荐的有效措施。
Fortinet 给出的 CVSS 严重性评分为 7.7,这可能会产生误导,因为该分数源于“高攻击复杂性”(high attack complexity),而这主要是由于暴力破解的要求。然而在实践中,暴力破解部分操作简单且快速。
研究员分享了一个 PoC 输出结果,展示了在 REST 端点上冒充管理员的情况。不过,他暂时保留了能够通过 /ws/cli/open连接到 FortiWeb CLI 的完整利用代码。
研究员 Aviv Y 承诺稍后将发布完整的漏洞利用细节,因为供应商的公告发布不久。他做出此决定是为了给系统管理员更多时间来应用修复程序。
该研究员告诉 BleepingComputer,已发布的细节展示了问题的核心,但即使对于知识渊博的攻击者来说,也不足以推断出其余部分并开发出完整的武器化利用链。他解释说,攻击者将不得不逆向工程会话中的字段格式,考虑到 Fortinet 拥有自己的数据结构,这实际上并不可行。
尽管如此,必须立即采取行动来缓解此问题,因为黑客会密切关注这些公告,并准备在完整 PoC 出现时发动攻击。
Aviv Y 告诉 BleepingComputer,他尚未决定发布漏洞利用代码的具体日期,但计划给防御者留出时间来应对风险。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容