مهلت یک هفته‌ای آژانس امنیت سایبری برای رفع آسیب‌پذیری فورتینت

به گزارش کارگروه امنیت خبرگزاری سایبربان، آژانس امنیت سایبری و امنیت زیرساخت (CISA) به همه نهادهای غیرنظامی فدرال هفت روز مهلت داد تا آسیب‌پذیری CVE-2025-64446 را وصله کنند و در هشدار خود اعلام کرد که «از سوءاستفاده فعال مطلع» است.

آژانس معمولاً برای وصله‌کردن بیشتر آسیب‌پذیری‌های موجود در فهرست «نقاط ضعف مورد بهره‌برداری قرارگرفته»، ۲۱ روز زمان می‌دهد.

آژانس امنیت سایبری و امنیت زیرساخت هشدار داد اگر کاربران نتوانند فوراً سیستم‌های آسیب‌دیده را به‌روزرسانی کنند، باید HTTP یا HTTPS را برای رابط‌های در معرض اینترنت غیرفعال کنند.

فورتینت (Fortinet) نیز روز جمعه یک هشدار منتشر کرد و آسیب‌پذیری CVE-2025-64446 را «بحرانی» با شدت ۹.۱ از ۱۰ ارزیابی کرد.

این نقص فورتی وب (FortiWeb) را تحت تأثیر قرار می‌دهد؛ یک فایروال کاربردی وب که در دولت‌ها و شرکت‌های بزرگ برای تشخیص و مسدود کردن ترافیک مخرب به‌طور گسترده استفاده می‌شود.

فورتینت از مشتریان خواست نسخه‌های وصله‌شده را نصب کنند.

این مشکل نخستین‌بار در ۶ اکتبر توسط شرکت امنیت سایبری دیفیوزد (Defused) برجسته شد.

سپس شرکت واچ تاور (watchtower) تجزیه‌وتحلیل دقیقی از آسیب‌پذیری منتشر کرد و اشاره نمود که نسخه‌های جدیدتر نرم‌افزار در برابر آن آسیب‌پذیر نیستند.

این شرکت افزود مشخص نیست آیا فورتینت به‌طور تصادفی این نقص را در نسخه‌های جدید وصله کرده یا بدون اطلاع‌رسانی عمومی آن را برطرف کرده است.

فورتینت به پرسش‌ها درباره زمان انتشار وصله پاسخ نداد و به ریکوردد فیوچر نیوز (Recorded Future News) بیان کرد که «به‌محض اطلاع از موضوع» اقدامات پاسخ و رفع مشکل را آغاز کرده است.

سخنگوی شرکت بیان کرد:

فورتینت به‌شکلی مسئولانه بین تعهد خود نسبت به امنیت مشتریان و فرهنگ شفافیت متعهدانه‌مان توازن ایجاد می‌کند. با درنظر گرفتن این اصول، ما مستقیماً با مشتریان آسیب‌دیده در ارتباط هستیم تا اقدامات توصیه‌شده لازم را به آن‌ها اطلاع دهیم.

بنجامین هریس، مدیرعامل واچ تاور، اظهار کرد که این شرکت شاهد سوءاستفاده فعال و بی‌هدف از این آسیب‌پذیری در فضای واقعی است.

واچ تاور یک ابزار تولیدکننده نشانه‌های شناسایی (Detection Artefact Generator) منتشر کرد تا مدافعان بتوانند میزبان‌های آسیب‌پذیر را شناسایی کنند.

او به ریکوردد فیوچر نیوز گفت:

این آسیب‌پذیری که در نسخه ۸.۰.۲ وصله شده، به مهاجمان اجازه می‌دهد اعمالی را با سطح دسترسی کاربر ممتاز انجام دهند و سوءاستفاده‌های فعلی عمدتاً بر ایجاد یک حساب کاربری مدیر جدید برای حفظ دسترسی تمرکز دارند.

کارشناسان رپید7 (Rapid7) اظهار داشتند که یک اکسپلویت ادعایی «روز صفر» برای فورتی وب (FortiWeb) در ۶ نوامبر در یک انجمن مشهور مجرمان سایبری برای فروش گذاشته شده است.

رپید7 توضیح داد که در صورت موفقیت حمله، مهاجم بدون داشتن هیچ سطح دسترسی قبلی می‌تواند به سطح دسترسی مدیر در پنل فورتی وب منیجر (FortiWeb Manager) برسد.

اسکات کاوِزا، مهندس ارشد تحقیق در شرکت تنیبل (Tenable)، اشاره کرد که دستگاه‌های فورتینت اغلب هدف مهاجمان هستند و افزود این بیست‌ویکمین آسیب‌پذیری محصولات فورتینت است که به فهرست آسیب‌پذیری‌های مورد سوءاستفاده آژانس امنیت سایبری اضافه شده است.

او توضیح داد:

در ۲۴ ساعت گذشته گزارش‌های متعددی دریافت کرده‌ایم که وجود یک آسیب‌پذیری جدید و ناشناخته را تأیید می‌کند، و چندین منبع هم گزارش داده‌اند که سوءاستفاده فعال از آن آغاز شده است. صدها دستگاه، بسیاری در آمریکا، هم‌اکنون در شودان (Shodan) به‌صورت عمومی قابل مشاهده هستند. هرچند مشخص نیست چرا فورتینت تازه حالا هشدار خود را منتشر کرده، اما این موضوع یادآوری می‌کند که مدافعان باید همیشه هوشیار باشند و به‌طور منظم دستگاه‌های حیاتی را به‌روزرسانی کنند، بدون توجه به اینکه سوءاستفاده از آسیب‌پذیری تأیید شده باشد یا نه. اگر این مسائل را به‌موقع رفع نکنید، عملاً هدفی آسان خواهید بود.