今天，Fortinet 發布了安全性更新，以修復 FortiWeb 中一個新出現的零日漏洞，該漏洞正被威脅行為者積極用於攻擊。該 Web 應用程式防火牆安全漏洞被追蹤為CVE-2025-58034，由趨勢科技趨勢研究團隊的 Jason McFadyen 報告。 經過身份驗證的威脅行為者可以透過成功利用此作業系統命令注入漏洞來獲取程式碼執行權限，這種攻擊複雜度低，無需用戶互動。 Fortinet 表示：“FortiWeb 中操作系統命令（‘操作系統命令注入’）漏洞 [CWE-78] 中對特殊元素的未正確中和，可能允許經過身份驗證的攻擊者通過精心構造的 HTTP 請求或 CLI 命令在底層系統上執行未經授權的代碼。” 上週，Fortinet 也證實，在威脅情報公司 Defused 首次報告漏洞被積極利用三週後，該公司於 10 月 28 日悄悄修復了另一個被大規模利用的FortiWeb 零日漏洞 (CVE-2025-64446) 。今年早些時候，在 8 月份，Fortinet 在其 FortiSIEM 安全監控解決方案中修復了另一個命令注入漏洞(CVE-2025-25256)，該漏洞利用程式碼已公開。 為阻止來襲攻擊，建議管理員將 FortiWeb 設備升級到今天發布的最新軟體版本。Fortinet 的安全公告明確指出，這家美國網路安全公司已在野外觀察到針對 CVE-2025-58034 的實際攻擊行動。趨勢科技向 BleepingComputer 證實，迄今為止已觀察到約 2000 次利用此缺陷的攻擊檢測記錄，這一數據有力地強調了漏洞被利用的廣泛性和嚴峻的緊迫性。

鑑於本次命令注入缺陷的低複雜度與無須用戶互動特性，它對所有受影響版本的 FortiWeb 設備構成直接且嚴重的威脅。具體而言，本次發布的補丁要求所有受影響版本，包括 FortiWeb 8.0.0 至 8.0.1、7.6.0 至 7.6.5、7.4.0 至 7.4.10、7.2.0 至 7.2.11，以及 7.0.0 至 7.0.11，都應立即升級至相對應的修復版本，如 8.0.2、7.6.6、7.4.11、7.2.12 或 7.0.12，這是確保設備網路應用程式防火牆安全防線穩固的首要步驟。

除了本次的零日漏洞之外，Fortinet 在近期已連續面臨嚴重的安全挑戰。上週修復的 CVE-2025-64446 允許攻擊者利用 HTTP POST 請求在暴露的 FortiWeb 設備上創建新的管理員級別帳戶。美國網路安全和基礎設施安全局（CISA）已將此漏洞列入其積極利用漏洞目錄，並強制要求美國聯邦機構在 11 月 21 日前完成修補。此外，今年稍早在 FortiSIEM 中修復的命令注入漏洞（CVE-2025-25256）的利用程式碼已在公開，顯示出這類命令注入攻擊正成為一個頻繁被利用的弱點類別。

從歷史趨勢來看，Fortinet 產品中的零日漏洞通常是網路間諜活動和勒索軟體攻擊者的主要目標，例如中國駭客組織 Volt Typhoon 就曾利用 FortiOS SSL VPN 缺陷入侵軍事網路。這表明網路犯罪分子持續將 Fortinet 設備視為滲透企業網路的首選途徑。因此，所有使用 FortiWeb 設備的機構都必須將本次升級視為最高優先級的安全行動，以防範潛在的系統接管、資料洩露，並避免被納入更大規模的網路攻擊行動中。持續關注並即時部署所有安全更新，是防止成為下一個目標的關鍵。

資料來源：https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-fortiweb-zero-day-exploited-in-attacks/