FortiSandbox’da SSRF zaifligi aniqlandi: ichki tarmoq trafigini yashirin yo‘naltirish xavfi

Fortinet kompaniyasi 2026-yil 13-yanvar kuni o‘zining FortiSandbox xavfsizlik qurilmasida aniqlangan muhim zaiflik haqida rasman ma’lum qildi. Ushbu kamchilik Server-Side Request Forgery (SSRF) turiga mansub bo‘lib, CVE-2025-67685 (FG-IR-25-783) identifikatori ostida qayd etilgan. Zaiflik hujumchilarga maxsus tayyorlangan HTTP so‘rovlar orqali ichki tarmoqdagi servislar bilan vositachi (proxy) sifatida aloqa o‘rnatish imkonini berishi mumkin.

Garchi Fortinet mazkur muammoni past darajadagi xavf sifatida baholagan bo‘lsa-da, mutaxassislar uni e’tiborsiz qoldirmaslik va tizimlarni imkon qadar tezroq yangilashni tavsiya etmoqda.

Zaiflikning kelib chiqish sababi

SSRF zaifligi FortiSandbox’ning grafik boshqaruv interfeysi (GUI) komponentida aniqlangan. Muammo CWE-918 — ya’ni server tomonidan tashqi yoki ichki manzillarga noto‘g‘ri nazorat ostida so‘rov yuborilishi bilan bog‘liq.

Mazkur kamchilik sababli tizimda autentifikatsiyadan o‘tgan, yuqori imtiyozga ega foydalanuvchi maxsus tayyorlangan HTTP so‘rovlar yuborish orqali:

  • localhost yoki ichki IP-manzillarga murojaat qilishi,
  • ichki servislar trafigini o‘z serveri orqali yo‘naltirishi,
  • ayrim ichki xizmatlar haqidagi texnik ma’lumotlarni bilib olishi mumkin.

Fortinet’ning ta’kidlashicha, bu so‘rovlar faqat shifrlanmagan (plaintext) HTTP/HTTPS endpointlar bilan cheklangan, bu esa zaiflikning ta’sir doirasini ma’lum darajada kamaytiradi. Shunga qaramay, noto‘g‘ri sozlangan yoki qat’iy segmentatsiya qilinmagan muhitlarda bu holat yanada jiddiy xavflarga yo‘l ochishi mumkin.

Xavf darajasi va ekspluatatsiya shartlari

Mazkur zaiflik CVSS v3 bo‘yicha 3.4 ball bilan baholangan va “past xavf” toifasiga kiritilgan. Buning asosiy sababi — hujumni amalga oshirish uchun hujumchidan:

  • tizimga tarmoq orqali kirish,
  • yuqori darajadagi (administrator) imtiyozlar,
  • foydalanuvchi ishtirokisiz murakkab so‘rovlar tayyorlash

talab etilishidir. Shu sababli zaiflik asosan ichki xodimlar, komprometatsiyaga uchragan administrator akkauntlari yoki allaqachon tizimga kirib bo‘lgan hujumchilar uchun xavf tug‘diradi.

Hozircha ushbu zaiflikdan real hujumlarda foydalanilganiga oid dalillar aniqlanmagan. Biroq Fortinet ehtiyot chorasi sifatida administratorlarga GUI jurnallarini sinchkovlik bilan tekshirishni tavsiya qilmoqda, ayniqsa 2026-yil yanvaridan boshlab ichki manzillarga yo‘naltirilgan shubhali so‘rovlar bo‘yicha.

Ta’sir doirasidagi versiyalar

Zaiflik asosan FortiSandbox’ning eski versiyalariga taalluqli bo‘lib, quyidagi holatlarda kuzatiladi:

  • 5.0.0 – 5.0.4 → 5.0.5 yoki undan yuqori versiyaga yangilash talab etiladi
  • 4.4, 4.2, 4.0 → ushbu tarmoqlar uchun to‘g‘ridan-to‘g‘ri tuzatish mavjud emas, tizimni yangiroq va qo‘llab-quvvatlanadigan versiyaga ko‘chirish zarur

Fortinet, ayniqsa, FortiSandbox 4.x liniyasidan foydalanayotgan tashkilotlarni ogohlantirib, ushbu versiyalar qo‘llab-quvvatlash muddati yakuniga yaqinlashayotganini ta’kidladi.

Tavsiyalar va himoya choralar

Kiberxavfsizlik mutaxassislari va Fortinet quyidagi choralarni ko‘rishni tavsiya etadi:

  • FortiSandbox’ni imkon qadar tezroq yangilangan versiyaga o‘tkazish
  • Administrator akkauntlari uchun kirish huquqlarini qayta ko‘rib chiqish
  • GUI orqali amalga oshirilgan ichki so‘rovlarni audit qilish
  • Ichki servislarni TLS bilan himoyalash va qat’iy tarmoq segmentatsiyasini joriy etish

CVE-2025-67685 hozircha keng miqyosda ekspluatatsiya qilinayotgan zaifliklar qatoriga kirmasa-da, u ichki tarmoqlar xavfsizligiga jiddiy tahdid solishi mumkin. Ayniqsa, yuqori imtiyozli akkauntlar buzilgan holatlarda yoki xavfsizlik sozlamalari yetarli darajada qat’iy bo‘lmagan muhitlarda bu zaiflik hujumchilar uchun qulay imkoniyat yaratadi.

Shu bois FortiSandbox’dan foydalanayotgan tashkilotlar ushbu ogohlantirishni jiddiy qabul qilishi va profilaktik yangilanishlarni kechiktirmasdan amalga oshirishi lozim.