FortiWeb’da jiddiy zaiflik aniqlandi: Xakerlar avtorizatsiyasiz SQL buyruqlarni yurgizishi mumkin
Internetda xavfsizlik muammolari ortib borayotgan bir paytda, Fortinet kompaniyasining mashhur FortiWeb web-ilovalar xavfsizlik devorida (WAF) juda jiddiy zaiflik aniqlangani e’lon qilindi. Ushbu zaiflik CVE-2025-25257 raqami ostida ro‘yxatga olingan bo‘lib, xakerlarga maxsus tayyorlangan HTTP yoki HTTPS so‘rovlar orqali tizimga ruxsatsiz SQL buyrug‘ini yuborish imkonini beradi.
Bu zaiflik SQL Injection (CWE-89) toifasiga mansub bo‘lib, kritik darajadagi xavf sifatida baholanmoqda – CVSS 3.1 balli bo‘yicha 9.6 ball. Eng xavflisi shuki, hujumni amalga oshirish uchun hech qanday foydalanuvchi avtorizatsiyasi talab etilmaydi.
Bu SQL Injection zaifligi FortiWeb’ning grafik interfeys (GUI) komponentida foydalanuvchi ma’lumotlari yetarlicha tekshirilmasligi sababli yuzaga kelgan. Hujumchi maxsus tayyorlangan HTTP yoki HTTPS so‘rovlar orqali ma’lumotlar bazasiga zararli SQL kodini kiritib:
- ma’lumotlarni o‘g‘irlashi,
- tizimga ruxsatsiz kirishi,
- backend bazalarni buzishi yoki o‘chirishi,
- hatto ichki tarmoqdagi boshqa qurilmalarga o‘tib ketishi mumkin.
📋 Zaiflik mavjud bo‘lgan FortiWeb versiyalari
| Versiya | Zaif Oralig‘i | Yangi yangilanish |
|---|---|---|
| 7.6.x | 7.6.0 – 7.6.3 | 7.6.4 yoki undan yuqori |
| 7.4.x | 7.4.0 – 7.4.7 | 7.4.8 yoki undan yuqori |
| 7.2.x | 7.2.0 – 7.2.10 | 7.2.11 yoki undan yuqori |
| 7.0.x | 7.0.0 – 7.0.10 | 7.0.11 yoki undan yuqori |
⚠️ Ogohlantirish: Har bir ushbu versiyadagi qurilma iloji boricha tezkor yangilanishga muhtoj. Yangilanish – ekspluatatsiyani oldini olishning eng samarali yo‘lidir.
🛡️ Fortinet’dan tavsiya etilgan xavfsizlik choralar:
✅ FortiWeb qurilmangizni darhol so‘nggi versiyaga yangilang
✅ Yangilanish bo‘lmagan taqdirda, HTTP/HTTPS orqali ishlovchi admin interfeyslarini vaqtincha o‘chiring
✅ Tarmoqni segmentatsiya qiling, admin interfeyslar faqat ishonchli IP’lar uchun ochiq bo‘lsin
✅ Monitoring tizimlari yordamida soxta trafik va ekspluatatsiya urinishlarini aniqlang
🔍 Nega bu muhim?
🔸 Web Application Firewall (WAF) kabi himoya tizimlarida aniqlangan zaifliklar, butun IT infratuzilmani xavf ostiga qo‘yadi
🔸 SQL Injection hujumlari eng keng tarqalgan va xavfli web-hujum turlaridan biri hisoblanadi
🔸 Ruxsatsiz tizimga kirish, ma’lumotlarni o‘g‘irlash, xizmatni rad etish (DoS) va ichki tarmoqqa kirish — bu zaiflik oqibatida yuz berishi mumkin bo‘lgan tahdidlardir
Agar tashkilotingiz FortiWeb WAF yechimidan foydalanayotgan bo‘lsa, bugunoq tegishli yangilanishlarni o‘rnating, admin interfeyslarni cheklang, va xavfsizlik monitoringini kuchaytiring. Zero, birgina zaiflik — butun tarmoq xavfsizligiga putur yetkazishi mumkin!
