【安全资讯】Fortinet FortiWeb遭黑客攻击，疑似与公开的RCE漏洞利用有关

概要：

近日，Fortinet FortiWeb多个实例遭到黑客攻击，疑似利用了公开的远程代码执行（RCE）漏洞CVE-2025-25257。该漏洞影响多个版本的FortiWeb，攻击者通过SQL注入漏洞植入WebShell或反向Shell，威胁监控平台Shadowserver Foundation已观察到多起感染事件。此次攻击主要针对大型企业、政府机构和管理安全服务提供商，影响范围广泛。

主要内容：

根据Shadowserver Foundation的报告，Fortinet FortiWeb多个实例近期遭到黑客攻击，攻击者疑似利用了公开的RCE漏洞CVE-2025-25257。该漏洞是一个严重的SQL注入漏洞，影响FortiWeb 7.6.0至7.6.3、7.4.0至7.4.7以及7.0.0至7.0.10版本。Fortinet已于2025年7月8日发布补丁，并敦促用户升级到安全版本。

攻击者通过精心构造的HTTP请求中的Authorization头部进行SQL注入，将恶意的.pth文件写入Python的'site-packages'目录。随后，攻击者远程访问FortiWeb的合法CGI脚本（/cgi-bin/ml-draw.py），触发恶意.pth文件中的代码，从而实现远程代码执行。网络安全公司WatchTowr和漏洞共同发现者“faulty *ptrrr”于7月11日公开了该漏洞的利用方法。

Shadowserver Foundation的数据显示，截至7月15日，仍有223个FortiWeb管理接口暴露在互联网上，其中大部分感染设备位于美国（40台），其次是荷兰（5台）、新加坡（4台）和英国（4台）。FortiWeb作为一款Web应用防火墙（WAF），广泛用于大型企业和政府机构，此次攻击可能对用户数据安全和业务连续性造成严重影响。

建议用户立即升级到安全版本，若无法立即升级，应关闭HTTP/HTTPS管理接口以限制对漏洞组件的访问。此次事件再次凸显了及时修补漏洞的重要性，尤其是对于公开漏洞的利用。