NetCaptain

Menu

Kwetsbaarheid in Fortinet FortiWeb laat aanvallers firewall overnemen

Een kwetsbaarheid in de FortiWeb Web Application Firewall (WAF) stelt aanvallers in staat om beheerdersaccounts aan te maken en daarmee het apparaat volledig over te nemen. De kwetsbaarheid werd verholpen in FortiWeb versie 8.0.2, maar wordt momenteel actief misbruikt bij niet-gepatchte firewalls.

De kwetsbaarheid kan worden misbruikt om lokale gebruikers met verhoogde rechten aan te maken, wat volledige overname van het apparaat mogelijk maakt. Fortinet heeft nog geen formeel advies gepubliceerd, maar erkent het probleem op zijn PSIRT-feed en heeft CVE-2025-64446 (CVSS 9.1) toegewezen aan de kwetsbaarheid.

Exploit beschikbaar

WatchTowr, dat zich in intelligence- en dreigingsdata specialiseert, observeerde “actieve, willekeurige exploitatie in het wild” van een stilzwijgend gepatchte kwetsbaarheid. De CEO van WatchTowr, Benjamin Harris, verklaarde dat de kwetsbaarheid het mogelijk maakt om volledige toegang tot de firewall te verkrijgen. Met de exploit maken aanvallers een nieuwe beheerder aan, waardoor deze blijvend toegang houden. Rapid7 meldt dat op 6 november een zero-day-exploit gericht op FortiWeb werd aangeboden op een black-hatforum, hoewel onduidelijk is of dit overeenkomt met de waargenomen aanvallen.

De exploit werkt door een HTTP POST-request naar het endpoint /api/v2.0/cmdb/system/admin%3F/../../../../cgi-bin/fwbcgi te sturen dat een beheerdersaccount aanmaakt. De exploit bestaat uit twee delen. Het eerste gedeelte betreft een een path-traversal kwetsbaarheid. Daarnaast kan met de CGIINFO-header de authenticatie worden omzeilt. De applicatie controleert de body van het verzoek op geldige JSON en roept cgi_auth() aan, die user impersonation mogelijk maakt. Door een JSON-blob te coderen in de CGIINFO-header en de waarden username="admin"profname="prof_admin"vdom="root" en loginname="admin" te gebruiken, wordt de aanvaller ingelogd als de ingebouwde admin-gebruiker.

Patch beschikbaar

De kwetsbare versies omvatten FortiWeb 8.0.0-8.0.1, 7.6.0-7.6.4, 7.4.0-7.4.9, 7.2.0-7.2.11 en 7.0.0-7.0.11. Gebruikers wordt geadviseerd te upgraden naar 8.0.2 of nieuwer, of hogere patches toe te passen voor eerdere branches. Totdat patches kunnen worden toegepast, wordt aanbevolen HTTP of HTTPS op internet-facing interfaces uit te schakelen. Beheerders dienen logbestanden te controleren op onverwachte accountwijzigingen of nieuwe beheerders.

Deel dit artikel

LinkedIn
WhatsApp
X
Email
Facebook
Foto van Door John de Kroon

Door John de Kroon

John de Kroon is de CTO van NetCaptain. Met meer dan 15 jaar ervaring als Ethisch Hacker heeft hij de leiding over de ontwikkelings- en onderzoekstak binnen NetCaptain.

Verder lezen?

Aantoonbare security als voorwaarde voor een cyberverzekering

3 december 2025

Cyberverzekeringen zijn in de laatste jaren veranderd van een eenvoudige bescherming naar een polis met strikte voorwaarden. Een groeiend aantal bedrijven realiseert zich dat een verzekering niet meer vanzelfsprekend is. Wie een verzekering wil afsluiten of een schadeclaim wil indienen, moet kunnen bewijzen dat de beveiligingsmaatregelen niet alleen aanwezig zijn,

Lees verder »

Waarom periodiek scannen tekortschiet in moderne cybersecurity

19 november 2025

Veel organisaties vertrouwen nog steeds op een jaarlijkse of halfjaarlijkse controle van hun IT-omgeving. Dat lijkt voldoende, maar in de praktijk ontstaat er een grote blinde vlek. Nieuwe kwetsbaarheden verschijnen dagelijks en worden steeds sneller misbruikt blijkt uit onderzoek. Een periodieke scan laat slechts zien wat er op dat moment

Lees verder »