NetCaptain

Menu

Kwetsbaarheid in Fortinet FortiWeb laat aanvallers firewall overnemen

Een kwetsbaarheid in de FortiWeb Web Application Firewall (WAF) stelt aanvallers in staat om beheerdersaccounts aan te maken en daarmee het apparaat volledig over te nemen. De kwetsbaarheid werd verholpen in FortiWeb versie 8.0.2, maar wordt momenteel actief misbruikt bij niet-gepatchte firewalls.

De kwetsbaarheid kan worden misbruikt om lokale gebruikers met verhoogde rechten aan te maken, wat volledige overname van het apparaat mogelijk maakt. Fortinet heeft nog geen formeel advies gepubliceerd, maar erkent het probleem op zijn PSIRT-feed en heeft CVE-2025-64446 (CVSS 9.1) toegewezen aan de kwetsbaarheid.

Exploit beschikbaar

WatchTowr, dat zich in intelligence- en dreigingsdata specialiseert, observeerde “actieve, willekeurige exploitatie in het wild” van een stilzwijgend gepatchte kwetsbaarheid. De CEO van WatchTowr, Benjamin Harris, verklaarde dat de kwetsbaarheid het mogelijk maakt om volledige toegang tot de firewall te verkrijgen. Met de exploit maken aanvallers een nieuwe beheerder aan, waardoor deze blijvend toegang houden. Rapid7 meldt dat op 6 november een zero-day-exploit gericht op FortiWeb werd aangeboden op een black-hatforum, hoewel onduidelijk is of dit overeenkomt met de waargenomen aanvallen.

De exploit werkt door een HTTP POST-request naar het endpoint /api/v2.0/cmdb/system/admin%3F/../../../../cgi-bin/fwbcgi te sturen dat een beheerdersaccount aanmaakt. De exploit bestaat uit twee delen. Het eerste gedeelte betreft een een path-traversal kwetsbaarheid. Daarnaast kan met de CGIINFO-header de authenticatie worden omzeilt. De applicatie controleert de body van het verzoek op geldige JSON en roept cgi_auth() aan, die user impersonation mogelijk maakt. Door een JSON-blob te coderen in de CGIINFO-header en de waarden username="admin"profname="prof_admin"vdom="root" en loginname="admin" te gebruiken, wordt de aanvaller ingelogd als de ingebouwde admin-gebruiker.

Patch beschikbaar

De kwetsbare versies omvatten FortiWeb 8.0.0-8.0.1, 7.6.0-7.6.4, 7.4.0-7.4.9, 7.2.0-7.2.11 en 7.0.0-7.0.11. Gebruikers wordt geadviseerd te upgraden naar 8.0.2 of nieuwer, of hogere patches toe te passen voor eerdere branches. Totdat patches kunnen worden toegepast, wordt aanbevolen HTTP of HTTPS op internet-facing interfaces uit te schakelen. Beheerders dienen logbestanden te controleren op onverwachte accountwijzigingen of nieuwe beheerders.

Deel dit artikel

LinkedIn
WhatsApp
X
Email
Facebook
Foto van Door John de Kroon

Door John de Kroon

John de Kroon is de CTO van NetCaptain. Met meer dan 15 jaar ervaring als Ethisch Hacker heeft hij de leiding over de ontwikkelings- en onderzoekstak binnen NetCaptain.

Verder lezen?

Fortinet FortiClient

Actief misbruikt lek in FortiClient EMS steelt wachtwoorden

29 mei 2026

Een recent gepatchte kwetsbaarheid in FortiClient Endpoint Management Server (EMS) wordt momenteel actief misbruikt om malware te installeren die inloggegevens steelt op beheerde apparaten. FortiClient EMS is een tool waarmee netwerkbeheerders updates, beleidsregels en firmware kunnen uitrollen naar Windows-, macOS-, Linux-, Android- en iOS-endpoints vanuit één centraal console.

Lees verder »
NetCaptain Console access

NetCaptain Console

3 april 2026

Na het opstarten van de NetCaptain appliance verschijnt de console-interface. Deze console is bedoeld voor basisbeheer en troubleshooting.

Lees verder »
Inlogpagina van NetCaptain

Inloggen en authenticatie

6 maart 2026

Een veilige en betrouwbare toegang tot je vulnerability management platform is de basis van goed beveiligingsbeheer. In dit artikel lees je hoe je voor het eerst inlogt op NetCaptain, waar je rekening mee moet houden bij certificaten en wat je kunt doen als je je wachtwoord bent vergeten.

Lees verder »