Kritische Sicherheitslücken in Fortinet Produkten: CVE-2025-25257 und CVE-2025-47856 im Fokus

Die IT-Sicherheitslandschaft wurde im Juli 2025 von zwei kritischen Schwachstellen in Fortinet-Produkten erschüttert. Die Schwachstellen CVE-2025-25257 und CVE-2025-47856 stellen eine erhebliche Bedrohung für Unternehmen dar, die auf FortiWeb und FortiVoice setzen. Bereits wenige Tage nach der Veröffentlichung der Sicherheitslücken wurden erste Angriffe beobachtet, was die Dringlichkeit einer sofortigen Aktualisierung unterstreicht.

CVE-2025-25257: SQL-Injection in FortiWeb

Die als CVE-2025-25257 klassifizierte Sicherheitslücke betrifft Fortinets FortiWeb Web Application Firewall und erhielt eine kritische CVSS-Bewertung von 9.6 (kritisch). Die Schwachstelle ermöglicht es unauthentifizierten Angreifern, durch speziell präparierte HTTP- oder HTTPS-Anfragen unauthorisierte SQL-Befehle auf betroffenen Systemen auszuführen.

Der technische Kern der Schwachstelle liegt im Fabric Connector von FortiWeb, einem Modul, das die Kommunikation zwischen FortiWeb und anderen Fortinet-Produkten ermöglicht. Die Schwachstelle entsteht durch unsachgemäße Validierung von Eingaben in der get_fabric_user_by_token Funktion. Angreifer können den /api/fabric/device/status Endpoint durch manipulierte Authorization-Header angreifen.

Folgende FortiWeb-Versionen sind betroffen:

• FortiWeb 7.6: Versionen 7.6.0 bis 7.6.3 (Lösung: Update auf 7.6.4 oder höher)
• FortiWeb 7.4: Versionen 7.4.0 bis 7.4.7 (Lösung: Update auf 7.4.8 oder höher)
• FortiWeb 7.2: Versionen 7.2.0 bis 7.2.10 (Lösung: Update auf 7.2.11 oder höher)
• FortiWeb 7.0: Versionen 7.0.0 bis 7.0.10 (Lösung: Update auf 7.0.11 oder höher)

Aktive Ausnutzung bestätigt

Besonders besorgniserregend ist die Tatsache, dass Fortinet bereits am 18. Juli 2025 bestätigte, dass CVE-2025-25257 aktiv in freier Wildbahn ausgenutzt wird. Laut Threat Intelligence-Berichten der Shadowserver Foundation wurden bereits 77 kompromittierte FortiWeb-Instanzen identifiziert, wobei die Angriffe bereits am 11. Juli 2025 - nur drei Tage nach der ursprünglichen Veröffentlichung - begannen. Die Angreifer setzen Webshells ein und nutzen die SQL-Injection zur Remote Code Execution.

CVE-2025-47856: Command Injection in FortiVoice

Die zweite kritische Schwachstelle CVE-2025-47856 betrifft FortiVoice, Fortinets Unified Communications-Plattform, und erhielt eine CVSS-Bewertung von 7.2 (hoch). Diese Schwachstelle ermöglicht es privilegierten Angreifern, beliebige Betriebssystem-Befehle über manipulierte HTTP/HTTPS- oder CLI-Anfragen auszuführen.

Die Schwachstelle basiert auf zwei OS Command Injection-Problemen (CWE-78), bei denen spezielle Elemente in Betriebssystem-Befehlen nicht ordnungsgemäß neutralisiert werden. Im Gegensatz zu CVE-2025-25257 erfordert diese Schwachstelle authentifizierte Zugriffe mit erhöhten Privilegien.

Folgende FortiVoice-Versionen sind betroffen:

• FortiVoice 7.2: Version 7.2.0 (Lösung: Update auf 7.2.1 oder höher)
• FortiVoice 7.0: Versionen 7.0.0 bis 7.0.6 (Lösung: Update auf 7.0.7 oder höher)
• FortiVoice 6.4: Versionen 6.4.0 bis 6.4.10 (Lösung: Update auf 6.4.11 oder höher)

Empfohlene Maßnahme

Alle Organisationen, die betroffene Fortinet-Produkte einsetzen, sollten unverzüglich die verfügbaren Sicherheitsupdates installieren. Die Schwere der Bedrohung wird durch die bereits beobachteten Angriffe auf CVE-2025-25257 und die hohe CVSS-Bewertung beider Schwachstellen unterstrichen.

Fazit

Die Schwachstellen CVE-2025-25257 und CVE-2025-47856 verdeutlichen die kontinuierlichen Herausforderungen in der Cybersicherheit. Während CVE-2025-25257 bereits aktiv ausgenutzt wird und durch seine unauthentifizierte Natur besonders gefährlich ist, stellt auch CVE-2025-47856 eine ernste Bedrohung für Organisationen dar, die FortiVoice einsetzen.

Sprechen Sie uns für weitere Details gerne direkt an oder wenden Sie sich formlos an hallo@enthus.de.