Fortinet FortiWeb’dagi xavfli zaiflik: kiberjinoyatchilar ma’muriy boshqaruvni qo‘lga kiritmoqda

Kiberxavfsizlik olamida tahdidlar tobora murakkablashib borayotgan bir vaqtda, AQSH Kiberxavfsizlik va infratuzilmani himoya qilish agentligi (CISA) Fortinet kompaniyasining FortiWeb Web Application Firewall (WAF) mahsulotida aniqlangan navbatdagi jiddiy zaiflik borasida shoshilinch ogohlantirish berdi. Mazkur zaiflik allaqachon real hujumlarda ekspluatatsiya qilinayotgani, tahdid darajasini yanada oshirmoqda.

CVE-2025-64446 deb qayd etilgan ushbu zaiflik nisbiy yo‘l bo‘ylab o‘tish (relative path traversal) mexanizmidagi xatolikdan kelib chiqadi. Ya’ni, autentifikatsiyadan o‘tmagan hujumchi maxsus shakllantirilgan HTTP/HTTPS so‘rovlar orqali tizimda istalgan ma’muriy buyruqlarni bajarish imkoniga ega bo‘ladi. Oddiy qilib aytganda, WAF — veb-ilovalarni himoya qilishi kerak bo‘lgan qurilma — aksincha, kiberjinoyatchilar uchun qulay “orqa eshik” vazifasini bajarib qolmoqda.

KEV katalogiga kiritildi: xavf darajasi yuqori

CISA 2025-yil 14-noyabr kuni ushbu zaiflikni “Known Exploited Vulnerabilities” (KEV) katalogiga kiritdi. Bu — zaiflik amalda ekspluatatsiya qilinayotganini bildiradi. Federal agentliklarga 21-noyabrga qadar tizimlarni yangilash yoki ekspluatatsiyani to‘xtatish bo‘yicha qat’iy ko‘rsatma berilgan.

Fortinetning rasmiy xabarnomasiga ko‘ra (FG-IR-25-910), ushbu xato 7.4.7 va 7.6.5 versiyalarigacha bo‘lgan bir nechta FortiWeb firmware’larini ta’sir ostida qoldiradi. Eng xavflisi shundaki, hujumchi tizimga kirish uchun hatto minimal foydalanuvchi ma’lumotlariga ham ehtiyoj sezmaydi.

Natijada quyidagilarga olib kelishi mumkin:

• to‘liq tizimni egallab olish
• maxfiy ma’lumotlarni o‘g‘irlash
• serverga zararli dastur joylashtirish
• korporativ tarmoqlarga chuqur kirib borish va lateral harakatlanish

Kiberxavfsizlik bo‘yicha mutaxassis Mariya Chen ta’kidlaganidek:
“Bu ko‘rinishda sodda bo‘lib tuyuladigan path traversal xatoligi aslida juda xavfli. Chunki autentifikatsiyasiz ma’muriy funksiyalarga kirish hujumchini to‘liq boshqaruvga ega qiladi.”

Qaysi sohalar nishonga olingan?

Dastlabki tahlillar shuni ko‘rsatadiki, ushbu zaiflikdan foydalanilgan real hujumlar moliya, sog‘liqni saqlash va davlat tashkilotlariga qarshi qayd etilgan. Hujumlar hozircha aniq ransomware kampaniyalari bilan bog‘lanmagan bo‘lsa-da, tahdid modeli shuni ko‘rsatadiki, kiberjinoyatchilar tizimni boshqarib olish orqali yanada murakkab zanjirli hujumlarni amalga oshirishi mumkin.

Mutaxassislar tavsiyasi: darhol yangilash shart

Fortinet barcha foydalanuvchilarni imkon qadar tezroq tizimni 7.4.8 yoki 7.6.6 versiyalariga yangilashga chaqirmoqda. Bundan tashqari, ma’muriy interfeysga kirishni qat’iy tarmoq segmentatsiyasi orqali cheklash tavsiya etiladi.

CISA esa, ayniqsa bulut muhitida joylashtirilgan FortiWeb qurilmalari uchun BOD 22-01 talablariga rioya qilishni eslatmoqda. Patching imkonsiz bo‘lgan holatlarda esa:

• qurilmani tarmoqdan izolyatsiya qilish
• shubhali HTTP trafiklarini monitoring qilish
• ruxsatsiz buyruq bajarilishini aniqlash

muhim ahamiyat kasb etadi.

Xavfsizlik qurilmalari — yangi hujum markazi

So‘nggi yillarda APT guruhlari aynan xavfsizlik devorlari, WAF’lar, VPN gateway’lar kabi tarmoq xavfsizligi qurilmalarini asosiy nishonga olayotgani kuzatilmoqda. Chunki bunday qurilmalar ko‘pincha tashqi tarmoqqa ochiq bo‘ladi va ular buzilgach, butun infratuzilmaga yo‘l ochiladi.

FortiWeb’dagi mazkur zaiflik ham shuni yana bir bor tasdiqladi:
tizimni himoya qiluvchi qurilmaning o‘zi himoyaga muhtoj bo‘lishi mumkin.

Zero-day va aktiv ekspluatatsiya qilinayotgan zaifliklar davrida tashkilotlar patchlarni kechiktirmasligi, xavfsizlik siyosatini muntazam qayta ko‘rib chiqishi hamda tarmoq segmentatsiyasiga jiddiy e’tibor qaratishi zarur. FortiWeb’dagi CVE-2025-64446 zaifligi esa — kiberxavfsizlikning eng kuchli bo‘g‘in ham o‘z vaqtida yangilanmasa, eng zaif nuqtaga aylanishi mumkinligini yana bir bor eslatib qo‘ydi.