NetCaptain

Menu

Kwetsbaarheid in Fortinet FortiWeb laat aanvallers firewall overnemen

Een kwetsbaarheid in de FortiWeb Web Application Firewall (WAF) stelt aanvallers in staat om beheerdersaccounts aan te maken en daarmee het apparaat volledig over te nemen. De kwetsbaarheid werd verholpen in FortiWeb versie 8.0.2, maar wordt momenteel actief misbruikt bij niet-gepatchte firewalls.

De kwetsbaarheid kan worden misbruikt om lokale gebruikers met verhoogde rechten aan te maken, wat volledige overname van het apparaat mogelijk maakt. Fortinet heeft nog geen formeel advies gepubliceerd, maar erkent het probleem op zijn PSIRT-feed en heeft CVE-2025-64446 (CVSS 9.1) toegewezen aan de kwetsbaarheid.

Exploit beschikbaar

WatchTowr, dat zich in intelligence- en dreigingsdata specialiseert, observeerde “actieve, willekeurige exploitatie in het wild” van een stilzwijgend gepatchte kwetsbaarheid. De CEO van WatchTowr, Benjamin Harris, verklaarde dat de kwetsbaarheid het mogelijk maakt om volledige toegang tot de firewall te verkrijgen. Met de exploit maken aanvallers een nieuwe beheerder aan, waardoor deze blijvend toegang houden. Rapid7 meldt dat op 6 november een zero-day-exploit gericht op FortiWeb werd aangeboden op een black-hatforum, hoewel onduidelijk is of dit overeenkomt met de waargenomen aanvallen.

De exploit werkt door een HTTP POST-request naar het endpoint /api/v2.0/cmdb/system/admin%3F/../../../../cgi-bin/fwbcgi te sturen dat een beheerdersaccount aanmaakt. De exploit bestaat uit twee delen. Het eerste gedeelte betreft een een path-traversal kwetsbaarheid. Daarnaast kan met de CGIINFO-header de authenticatie worden omzeilt. De applicatie controleert de body van het verzoek op geldige JSON en roept cgi_auth() aan, die user impersonation mogelijk maakt. Door een JSON-blob te coderen in de CGIINFO-header en de waarden username="admin"profname="prof_admin"vdom="root" en loginname="admin" te gebruiken, wordt de aanvaller ingelogd als de ingebouwde admin-gebruiker.

Patch beschikbaar

De kwetsbare versies omvatten FortiWeb 8.0.0-8.0.1, 7.6.0-7.6.4, 7.4.0-7.4.9, 7.2.0-7.2.11 en 7.0.0-7.0.11. Gebruikers wordt geadviseerd te upgraden naar 8.0.2 of nieuwer, of hogere patches toe te passen voor eerdere branches. Totdat patches kunnen worden toegepast, wordt aanbevolen HTTP of HTTPS op internet-facing interfaces uit te schakelen. Beheerders dienen logbestanden te controleren op onverwachte accountwijzigingen of nieuwe beheerders.

Deel dit artikel

LinkedIn
WhatsApp
X
Email
Facebook
Foto van Door John de Kroon

Door John de Kroon

John de Kroon is de CTO van NetCaptain. Met meer dan 15 jaar ervaring als Ethisch Hacker heeft hij de leiding over de ontwikkelings- en onderzoekstak binnen NetCaptain.

Verder lezen?

Microsoft365

Microsoft brengt noodpatch uit voor zeroday in Office

28 januari 2026

Afgelopen maandag bracht Microsoft noodpatches uit voor een ernstig zero-day-lek in Office, geïdentificeerd als CVE-2026-21509. Het lek kreeg een CVSS-score van 7,8/10 en stelt een aanvaller in staat een beveiligingsfunctie te omzeilen die normaal gesproken onveilige Object Linking and Embedding (OLE)-besturingselementen blokkeert. De kwetsbaarheid wordt geactiveerd wanneer een ontvanger een

Lees verder »

De Cyberbeveiligingswet en aantoonbare grip op digitale risico’s

22 januari 2026

De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2 richtlijn, treedt naar verwachting in 2026 in werking en vergroot het aantal organisaties dat onder cybersecuritytoezicht valt aanzienlijk. Niet alleen vitale sectoren, maar ook digitale dienstverleners zoals MSP’s en andere partijen in complexe IT ketens krijgen te maken met nieuwe verplichtingen.

Lees verder »

Opnieuw actief misbruikte zero‑day in Cisco UC‑platformen

22 januari 2026

Eind januari 2026 patchte Cisco CVE‑2026‑20045, een kritieke kwetsbaarheid die aanvallers al actief misbruiken. De kwetsbaarheid heeft een CVSS‑score van 8.2 en maakt het mogelijk om via een HTTP‑request controle over te nemen op systemen binnen Unified Communications‑omgevingen. Wie het lek misbruikt, krijgt gebruikersrechten op het onderliggende OS en kan

Lees verder »