NetCaptain

Menu

Kwetsbaarheid in Fortinet FortiWeb laat aanvallers firewall overnemen

Een kwetsbaarheid in de FortiWeb Web Application Firewall (WAF) stelt aanvallers in staat om beheerdersaccounts aan te maken en daarmee het apparaat volledig over te nemen. De kwetsbaarheid werd verholpen in FortiWeb versie 8.0.2, maar wordt momenteel actief misbruikt bij niet-gepatchte firewalls.

De kwetsbaarheid kan worden misbruikt om lokale gebruikers met verhoogde rechten aan te maken, wat volledige overname van het apparaat mogelijk maakt. Fortinet heeft nog geen formeel advies gepubliceerd, maar erkent het probleem op zijn PSIRT-feed en heeft CVE-2025-64446 (CVSS 9.1) toegewezen aan de kwetsbaarheid.

Exploit beschikbaar

WatchTowr, dat zich in intelligence- en dreigingsdata specialiseert, observeerde “actieve, willekeurige exploitatie in het wild” van een stilzwijgend gepatchte kwetsbaarheid. De CEO van WatchTowr, Benjamin Harris, verklaarde dat de kwetsbaarheid het mogelijk maakt om volledige toegang tot de firewall te verkrijgen. Met de exploit maken aanvallers een nieuwe beheerder aan, waardoor deze blijvend toegang houden. Rapid7 meldt dat op 6 november een zero-day-exploit gericht op FortiWeb werd aangeboden op een black-hatforum, hoewel onduidelijk is of dit overeenkomt met de waargenomen aanvallen.

De exploit werkt door een HTTP POST-request naar het endpoint /api/v2.0/cmdb/system/admin%3F/../../../../cgi-bin/fwbcgi te sturen dat een beheerdersaccount aanmaakt. De exploit bestaat uit twee delen. Het eerste gedeelte betreft een een path-traversal kwetsbaarheid. Daarnaast kan met de CGIINFO-header de authenticatie worden omzeilt. De applicatie controleert de body van het verzoek op geldige JSON en roept cgi_auth() aan, die user impersonation mogelijk maakt. Door een JSON-blob te coderen in de CGIINFO-header en de waarden username="admin"profname="prof_admin"vdom="root" en loginname="admin" te gebruiken, wordt de aanvaller ingelogd als de ingebouwde admin-gebruiker.

Patch beschikbaar

De kwetsbare versies omvatten FortiWeb 8.0.0-8.0.1, 7.6.0-7.6.4, 7.4.0-7.4.9, 7.2.0-7.2.11 en 7.0.0-7.0.11. Gebruikers wordt geadviseerd te upgraden naar 8.0.2 of nieuwer, of hogere patches toe te passen voor eerdere branches. Totdat patches kunnen worden toegepast, wordt aanbevolen HTTP of HTTPS op internet-facing interfaces uit te schakelen. Beheerders dienen logbestanden te controleren op onverwachte accountwijzigingen of nieuwe beheerders.

Deel dit artikel

LinkedIn
WhatsApp
X
Email
Facebook
Foto van Door John de Kroon

Door John de Kroon

John de Kroon is de CTO van NetCaptain. Met meer dan 15 jaar ervaring als Ethisch Hacker heeft hij de leiding over de ontwikkelings- en onderzoekstak binnen NetCaptain.

Verder lezen?

Waarom periodiek scannen tekortschiet in moderne cybersecurity

19 november 2025

Veel organisaties vertrouwen nog steeds op een jaarlijkse of halfjaarlijkse controle van hun IT-omgeving. Dat lijkt voldoende, maar in de praktijk ontstaat er een grote blinde vlek. Nieuwe kwetsbaarheden verschijnen dagelijks en worden steeds sneller misbruikt blijkt uit onderzoek. Een periodieke scan laat slechts zien wat er op dat moment

Lees verder »

Kritieke WatchGuard kwetsbaarheid stelt meer dan 54.000 firewalls bloot

13 november 2025

Een kritieke kwetsbaarheid in de Firewall WatchGuard wordt volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) actief misbruikt. De kwetsbaarheid, aangeduid als CVE-2025-9242, is een Remote Code Execution kwetsbaarheid in het Fireware-besturingssysteem. Met de kwetsbaarheid kunnen aanvallers kwaadaardige code uitvoeren op het systeem. De kwetsbaarheid heeft een CVSS-score van

Lees verder »

Waarom NetCaptain onmisbaar is voor jouw onderneming

10 november 2025

Bedrijven vertrouwen dagelijks op hun IT, maar één kleine kwetsbaarheid kan al genoeg zijn om systemen te ontregelen of gevoelige gegevens in verkeerde handen te laten vallen. Cybercriminelen spelen daar slim op in. Een onschuldig ogende fout in je netwerk kan leiden tot productiestilstand, dataverlies of reputatieschade die maanden voelbaar

Lees verder »