2025 年 11 月,Fortinet 連續揭露兩個 FortiWeb Web 應用防火牆(WAF)的重大漏洞,並確認已遭攻擊者在野利用。這一系列事件,再度提醒企業:邊界安全設備本身就是高價值攻擊目標,非僅保護應用層的防護屏障。
CVE-2025-58034 — OS Command Injection
- 漏洞類型:OS Command Injection(CWE-78)
- 攻擊條件:需先取得有效帳號認證,透過 HTTP 或 CLI 執行惡意指令
- CVSS 分數:6.7 / 10(中等)
- 漏洞影響:攻擊者可在 FortiWeb 底層系統執行任意命令,取得未授權控制
- 發現與通報:由 Trend Micro 研究員 Jason McFadyen 通報,Fortinet 於 11 月 18 日發布修補版本
受影響版本與修補建議:
| FortiWeb 版本 | 受影響範圍 | 建議修補版本 |
| 8.0 | 8.0.0–8.0.1 | 8.0.2 或以上 |
| 7.6 | 7.6.0–7.6.5 | 7.6.6 或以上 |
| 7.4 | 7.4.0–7.4.10 | 7.4.11 或以上 |
| 7.2 | 7.2.0–7.2.11 | 7.2.12 或以上 |
| 7.0 | 7.0.0–7.0.11 | 7.0.12 或以上 |
資安網站BleepingComputer報道, Trend Micro 已觀測到約 2,000 次攻擊行為,顯示漏洞正在全球範圍內實際利用。
CVE-2025-64446 — 路徑遍歷 + 認證繞過
- 漏洞類型:路徑遍歷 + 認證繞過
- CVSS 分數:9.1 / 10(高危)
- 攻擊方式:未認證即可透過 HTTP POST 建立管理員帳號,完全掌控 WAF
- 受影響版本:8.0.0–8.0.1、7.6.0–7.6.4、7.4.0–7.4.9、7.2.0–7.2.11、7.0.0–7.0.11
- 修補版本:8.0.2、7.6.5、7.4.10、7.2.12、7.0.12
值得注意的是,Fortinet 在 10 月底已悄悄修補 CVE-2025-64446,但直到 11 月 14 日才正式發布公告。此期間,攻擊者已經開始針對漏洞行動,留下企業無法及時應對的風險。CISA 亦於同日將漏洞列入 KEV(Known Exploited Vulnerabilities)清單,要求美國政府機構於一週內修補。
攻擊模式與風險分析
資安專家指出,這兩個漏洞雖然攻擊條件不同,但具有共同特徵:
- 目標不是網站,而是邊界安全設備本身
- 控制 WAF 可監控、修改核心網站流量
- 控制 VPN 可掌握內部網路通道
- 控制 SIEM 可隱匿或干擾安全事件
- 攻擊行為已經自動化,全球暴露設備均可能成為目標
- 歷史案例顯示,APT 或勒索組織經常利用 Fortinet 漏洞進行滲透,例如中國 Volt Typhoon 組織透過 FortiOS SSL VPN 漏洞入侵荷蘭國防部,部署後門 RAT
企業防護建議
- 立即升級 FortiWeb 至官方修補版本
- 封鎖或限制外網管理介面
- 暫時禁止 HTTP/HTTPS 直連
- 遠端管理請搭配 VPN 與 MFA
- 限制來源 IP
- 檢查異常帳號與配置變更
- 尋找未知新增的 Admin 帳號
- 檢查 HTTP POST 請求與 CLI 操作紀錄
- 回溯日誌與威脅獵捕
- 鎖定 10 月以來的操作記錄
- 檢查可疑指令、帳號異常登入與異常存取
- 網路分段,限制潛在橫向移動
結語
這兩個零日漏洞事件提醒企業:
- 邊界安全設備本身就是高價值目標
- 漏洞公告延遲可能使企業處於劣勢
- 快速修補、持續監控、威脅獵捕 是防護的關鍵
企業不應僅信賴設備自帶防護,而應將重點放在 即時察覺與防禦突破行為,以降低攻擊者利用 WAF 控制核心資產的風險。