Kritisch: CVE-2025-25257 mit unautorisierter Remote Code Execution in FortiWeb Fabric Connector
Die neue Schwachstelle CVE-2025-25257 (CVSS 9.6) in Fortinets FortiWeb Fabric Connector stellt weltweit ein hohes Risiko dar. Obwohl sie sich am 14. Juli 2025 noch im Status „Reserved“ befand, haben das CERT.be in Belgien und das Center for Internet Security (CIS) bereits eine CERT-Warnungen veröffentlicht. Weitere Warnungen dürften in Kürze folgen, sobald die CVE den Status „Published“ erreicht.
Es sind mehrere öffentliche PoC (Proof of Concept) Exploits [1][2] verfügbar, die das Risiko weiter erhöhen. Updates sollten dringend installiert werden. Greenbone hat kurz nach der Offenlegung der Schwachstelle einen Erkennungstest veröffentlicht, mit dem sich anfällige Systeme in den Netzwerken identifizieren lassen. Ein Blick auf die Details von CVE-2025-25257 zeigt, worum es sich dabei handelt.
CVE-2025-25257: RCE in FortiWeb Fabric Connector
CVE-2025-25257 (CVSS 9.6) ist eine Schwachstelle, die einen nicht authentifizierten Zugriff (Remote Code Execution; RCE) in Fortinet FortiWeb Fabric Connector erlaubt. Sie wurde mit einem kritischen Schweregrad von CVSS 9.6 klassifiziert, weil sie die Ausführung von SQL- und Python-Code auf dem System des Opfers aufgrund unsachgemäßer Filterung von HTTP-Headern ermöglicht. Erschreckenderweise besteht diese Schwachstelle, weil der Wert des HTTP-Headers „Authorization:Bearer” ohne Bereinigung in SQL-Abfragen eingefügt wird [CWE-89] – ein unverzeihlich schlechtes Software-Design. Vollständige technische Beschreibungen und Exploits [1][2][3] wurden von watchTowr Labs und anderen Sicherheitsforschenden veröffentlicht, sodass die Ausnutzung dieser Schwachstelle nun für Cyberkriminelle auf jedem Niveau als trivial anzusehen ist.
Zusätzlich zu allen typischen SQL-Injection-Angriffen, wie dem Aufzählen der Datenbanken oder dem Ändern von Daten, können RCE-Angriffe durchgeführt werden, indem durch SQL-Code der MySQL-Befehl „INTO OUTFILE“ ausgenutzt wird. Durch das Schreiben einer ausführbaren „.pth“-Datei in das Python-Verzeichnis „site-packages“ (im Fall von FortiWeb: „/usr/local/lib/python3.10/site-packages/“) wird diese jedes Mal ausgeführt, wenn ein Python-Skript gestartet wird. Denn beim Start des Interpreters wird der integrierte Initialisierungsmechanismus von Python („site.py“) ausgelöst. Die webbasierte Verwaltungskonsole von FortiWeb enthält überdies ein Python-basiertes CGI-Skript („ml-draw.py“), das ohne Authentifizierung ausgelöst werden kann, was die Exploit-Kette vervollständigt.
Obwohl die Schwachstelle bislang noch nicht in der Praxis ausgenutzt wurde, deuten ihr Status als Pre-Auth-RCE und frühere Angriffe auf Fortinet-Produkte darauf hin, dass eine leicht zu nutzende Schwachstelle wie CVE-2025-25257 wahrscheinlich bald nach ihrer Offenlegung Verwendung finden wird. FortiWeb Fabric Connector ist kein öffentlich erreichbarer Edge-Dienst, kann jedoch lokal ausgenutzt werden, um FortiWeb WAF-Konfigurationen zu ändern, sensible Informationen zu stehlen oder zusätzliche persistente Malware zu installieren.
Welche Rolle spielt der FortiWeb Fabric Connector?
FortiWeb selbst ist eine Web Application Firewall (WAF), die in diesem Zusammenhang als Sicherheitskomponente am Netzwerkrand (Edge) betrachtet werden kann. Fabric Connector ist eine Systemintegrationskomponente zur automatisierten Koordination zwischen der FortiWeb WAF und anderen Fortinet-Produkten wie FortiGate und FortiManager. Wenn andere Fortinet-Geräte Bedrohungsdaten generieren, kann der Fabric Connector daraus in Echtzeit Sicherheitsmaßnahmen innerhalb von FortiWeb generieren. Glücklicherweise ist der FortiWeb Fabric Connector kein Edge-Dienst und daher in der Regel nicht über das öffentliche Internet zugänglich. Als WAF haben FortiWeb-Geräte jedoch die Aufgabe, bösartigen Datenverkehr daran zu hindern, Webserver zu erreichen. Wenn Angreifende also in der Lage sind, die Konfiguration zu ändern, könnten sie sekundäre Angriffe auf webbasierte Ressourcen ermöglichen.
Behebung der Sicherheitslücke CVE-2025-25257
CVE-2025-25257 betrifft die FortiWeb-Versionen 7.0.0 bis 7.0.10, 7.2.0 bis 7.2.10, 7.4.0 bis 7.4.7 und 7.6.0 bis 7.6.3. Nutzende sollten umgehend ein Upgrade auf die Versionen 7.0.11, 7.2.11, 7.4.8 oder 7.6.4 oder höher durchführen. Wenn ein Update nicht möglich ist, empfiehlt Fortinet, das FortiWeb HTTP/HTTPS-Admin-Interface zu deaktivieren.
Zusammenfassung
CVE-2025-25257 ermöglicht RCE für nicht authentifizierte Angriffe über die Fabric Connector HTTP-API von Fortinet FortiWeb. Die Schwachstelle beruht auf einer SQL-Injection-Lücke, die bereits dazu verwendet wurde, Privilegien zu eskalieren und Python-Code auszuführen. Öffentliche PoCs und eine nationale CERT-Empfehlung von CERT.be unterstreichen die Dringlichkeit, einen Patch zu installieren oder andere Abhilfemaßnahmen zu ergreifen. Greenbone hat kurz nach Bekanntwerden dieser Schwachstelle einen Erkennungstest veröffentlicht, mit dem Sie anfällige Systeme in ihren Netzwerken identifizieren können.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.
