美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)於 11 月 19 日將 Fortinet FortiWeb 的零日漏洞 CVE-2025-58034 列入已知被利用漏洞目錄( KEV),並罕見地要求聯邦機構在一週內完成修補,而非慣例的兩週期限。這是 Fortinet 一週內第二個遭利用的 FortiWeb 零日漏洞,資安研究機構更發現攻擊者正將兩個漏洞串聯使用,形成更嚴重的攻擊鏈威脅。
駭客串聯雙零日漏洞發動攻擊
CVE-2025-58034 是一個作業系統命令注入漏洞(OS Command Injection),允許已通過身份驗證的攻擊者透過精心設計的 HTTP 請求或命令列介面(CLI)指令,在 FortiWeb 網頁應用程式防火牆(Web Application Firewall, WAF)上執行未經授權的程式碼。這個中等嚴重性漏洞的 CVSS 評分為 6.7 分,源於對特殊元素的不當中和處理。
法國資安公司 Orange Cyberdefense 於 11 月 20 日在社群平台 X 上發布警告,指出「多個攻擊活動」正將 CVE-2025-58034 與先前於 11 月 14 日揭露的
另一個零日漏洞 CVE-2025-64446 串聯使用。Rapid7 的技術分析進一步指出,將身份驗證繞過漏洞與已驗證的命令注入漏洞結合,攻擊者可實現對脆弱 FortiWeb 設備的未經認證遠端程式碼執行。
趨勢科技研究團隊向媒體表示,已偵測到約 2,000 次針對 CVE-2025-58034 的利用活動。該公司研究人員 Jason McFadyen 在審查 FortiWeb 的舊有問題時發現這個漏洞,並通報給 Fortinet。趨勢科技表示,雖然兩個漏洞是獨立的安全問題,但攻擊者會在可能的情況下串聯利用漏洞,因此兩者都應立即修補以降低整體風險。
CISA 縮短修補期限因應威脅
CISA 在將 CVE-2025-58034 加入 KEV 目錄的警報中表示,考量到針對 CVE-2025-64446 的持續零日攻擊事件,建議採用「一週的縮短修補時間」。根據約束性作業指令(BOD 22-01),CISA 通常給予聯邦機構兩週時間修補新增至 KEV 的漏洞,但此次將期限縮短至 11 月 25 日前完成。
CISA 在公告中警告,「這類漏洞是惡意網路行為者的常見攻擊途徑,對聯邦政府構成重大風險。」該機構的緊急措施凸顯威脅的嚴重性和迫切性。
Fortinet 揭露作法再受質疑
值得注意的是,Rapid7 於 11 月 20 日發布的技術分析指出,CVE-2025-58034 與 CVE-2025-64446 都在公開揭露前就已被 Fortinet 靜默修補。Rapid7 在分析中指出,「兩個漏洞的揭露時間僅相隔數日,兩者都在先前的產品更新中由廠商修補,但修補時並未揭露」,綜合各項證據,這兩個漏洞極有可能被串聯成攻擊鏈,讓攻擊者無需認證即可對脆弱的 FortiWeb 設備執行遠端程式碼。
Rapid7 還發現另一個問題:分析修補程式後發現,儘管該更新為 FortiWeb 多個函式新增驗證邏輯、修復了多個命令注入漏洞,卻只分配一個 CVE 編號。Rapid7 表示,將程式碼庫中的多個漏洞分配單一 CVE 識別碼會妨礙防禦者正確歸因正在被利用的漏洞。
企業應立即採取防禦措施
Orange Cyberdefense 建議 Fortinet 客戶立即將 WAF 更新至修補版本,包括 FortiWeb 8.0.2、7.6.6、7.4.11、7.2.12 和 7.0.12 版本。同時不應將 FortiWeb 管理介面暴露在網際網路上,並應監控是否有新建立的使用者帳戶。
這是 Fortinet 近年來面臨的一系列遭利用漏洞和安全威脅中的最新案例。隨著網路犯罪組織和國家級駭客組織越來越聚焦攻擊 VPN 和防火牆等邊界設備,Fortinet 已成為主要攻擊目標。今年 2 月,Fortinet 披露中國駭客組織 Volt Typhoon 利用兩個 FortiOS SSL VPN 漏洞,使用名為 Coathanger 的客製化遠端存取木馬程式(RAT)滲透荷蘭國防部軍事網路。