Fortinet FortiWeb 路徑遍歷漏洞遭全球攻擊 
威脅情報公司 Defused 於 10 月 6 日首次發現針對 Fortinet FortiWeb 設備的認證繞過漏洞(CVE-2025-52970)利用活動,攻擊者透過路徑遍歷(Path Traversal)弱點,在無需任何認證的情況下於受影響設備上建立管理員帳戶。隨後攻擊活動急遽增加,目前已演變為全球性的大規模掃描攻擊。
根據 PwnDefend 的 Daniel Card 與 Defused 聯合發布的研究報告，該漏洞影響 FortiWeb 的特定 API 端點。攻擊者利用路徑遍歷技術繞過正常的認證機制，透過發送精心構造的 HTTP POST 請求至以下路徑即可建立本地管理員層級帳戶： /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi
該攻擊路徑結合兩種技術手法：首先使用 URL 編碼將問號「?」轉換為「%3f」，這是網址中用來混淆特殊字元的標準編碼方式;其次利用目錄遍歷序列「../」向上層目錄移動，最終繞過 API 的存取控制機制，直接存取底層的 CGI 處理程序 fwbcgi。這種組合技術讓攻擊者能夠欺騙系統的路徑驗證機制，存取原本受保護的管理功能。
研究人員觀察到攻擊者使用多組預設的帳戶組合，包括使用者名稱 Testpoint、trader1、trader 等，搭配密碼如 3eMIXX43、AFT3$tH4ck、AFT3$tH4ckmet0d4yaga!n 等。攻擊來源遍布全球，主要 IP 位址包括 107.152.41.19、144.31.1.63、64.95.13.8，以及 185.192.70.0/24 網段範圍內的多個位址。
資安研究機構 watchTowr Labs 已確認該漏洞可被成功利用，並公開展示了從登入失敗到執行漏洞利用程式，最終以新建管理員帳戶成功登入的完整攻擊流程。watchTowr 更釋出名為「FortiWeb Authentication Bypass Artifact Generator」的工具，該工具會嘗試建立基於 UUID 衍生的 8 字元隨機使用者名稱管理員帳戶，協助防禦方識別易受攻擊的設備。
根據 Rapid7 的跨版本測試結果，該漏洞影響 FortiWeb 8.0.1 及更早版本，已於 10 月底釋出的 8.0.2 版本中修補。然而值得注意的是，Fortinet 官方產品安全事件回應團隊(PSIRT)網站目前尚未發布與此漏洞相符的公開揭露資訊，顯示此漏洞可能是在修補後才被外部研究人員發現正遭利用。

Akira 勒索軟體首次加密 Nutanix 虛擬機器
美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、國防部網路犯罪中心(DC3)、衛生及公共服務部(HHS)以及多個國際合作夥伴聯合發布更新公告，警告 Akira 勒索軟體組織已擴展其加密能力，開始鎖定 Nutanix AHV 虛擬機器磁碟檔案。
該公告整合了 FBI 調查結果與第三方回報資料，涵蓋截至 2025 年 11 月的最新威脅指標。 公告指出，2025 年 6 月 Akira 威脅行為者首次加密 Nutanix AHV 虛擬機器磁碟檔案，標誌其攻擊能力從 VMware ESXi 和 Hyper-V 進一步擴展。
攻擊者透過濫用 SonicWall 漏洞 CVE-2024-40766(CWE-284：不當存取控制)作為入侵途徑之一。 Nutanix AHV 是基於 Linux 的虛擬化解決方案，在企業超融合基礎架構市場非常受歡迎。據外媒報導，專家分析 Akira Linux 加密程式發現，其嘗試加密 .qcow2 副檔名的檔案，這正是 Nutanix AHV 使用的虛擬磁碟格式。
值得注意的是，該檔案格式自 2024 年底開始即已成為 Akira 加密程式的目標之一。 不過相較於針對 VMware ESXi 的成熟攻擊手法，Akira 對 Nutanix 環境的攻擊技術仍在發展階段。在 ESXi 環境中，Akira 會使用 esxcli 和 vim-cmd 指令優雅地關閉虛擬機器後再加密磁碟，但對於 Nutanix AHV 環境，目前僅直接加密 .qcow2 檔案，並未使用 Nutanix 平台的 acli 或 ncli 命令列工具來正常關閉 AHV 虛擬機器。 更新公告同時揭露 Akira 的最新入侵與橫向移動技術細節。攻擊者取得初始存取權限後，會使用 nltest 進行網域環境偵察、部署 AnyDesk 和 LogMeIn 等遠端存取工具、利用 Impacket 工具包的 wmiexec.py 進行橫向移動，以及執行 VB 腳本建立持久性機制。
Akira 成員還會主動移除端點偵測工具，並建立新的管理員帳戶以維持存取權限。 在一起攻擊案例中，攻擊者關閉網域控制站(Domain Controller)虛擬機器，複製其 VMDK 檔案並掛載至新的虛擬機器，隨後擷取 NTDS.dit 檔案和 SYSTEM 登錄區來取得網域管理員帳戶憑證。此外，攻擊者會進一步利用 Veeam Backup & Replication 伺服器的 CVE-2023-27532 或 CVE-2024-40711 漏洞存取並刪除備份系統，確保受害組織無法輕易復原資料。
在某些攻擊案例中，Akira 能在短短兩小時內完成資料竊取，並使用 Ngrok 等通道工具建立加密的命令與控制(C2)通道，有效繞過周邊監控機制。

企業應立即採取的防護措施
針對 Fortinet FortiWeb 用戶，資安團隊應立即檢查設備上是否存在異常的管理員帳戶，特別是前述研究人員觀察到的帳戶名稱模式。
管理者應審查系統日誌，搜尋針對 /cgi-bin/fwbcgi 路徑的 HTTP POST 請求記錄，並調查來自可疑 IP 位址，包括 107.152.41.19、144.31.1.63、64.95.13.8 及 185.192.70.0/24 網段的任何活動。最重要的是，管理者應盡快更新至 FortiWeb 8.0.2 版本，並確保管理介面不可從網際網路直接存取，僅限受信任網路或 VPN 連線。
對於使用 Nutanix AHV 或其他虛擬化平台的企業，CISA 與 FBI 持續建議實施定期離線備份、強制執行多因素驗證(MFA)，以及快速修補已知被利用的漏洞。企業應特別檢視 SonicWall (CVE-2024-40766) 和 Veeam 系統(CVE-2023-27532、CVE-2024-40711)的修補狀態，這些系統已成為 Akira 組織的主要攻擊目標。此外，組織應監控網路中是否存在 Ngrok 等通道工具的異常使用，並定期審查管理員帳戶的建立與權限變更記錄。

本文轉載自bleepingcomputer。