Fortinet bevestigt actief misbruik van path traversal-lek in FortiWeb-firewall
Na berichtgeving door verschillende securitybedrijven heeft ook Fortinet nu bevestigd dat aanvallers actief misbruik maken van een path traversal-lek in de FortiWeb web application firewall (WAF). Het Amerikaanse cyberagentschap CISA heeft federale overheidsinstanties opgedragen de kwetsbaarheid binnen een week te patchen. FortiWeb is een apparaat dat applicaties tegen aanvallen moet beschermen.
Het path traversal-lek in FortiWeb, aangeduid als CVE-2025-64446, maakt het mogelijk voor een ongeauthenticeerde aanvaller om via HTTP- of HTTPS-requests willekeurige admin-commando's op het systeem uit te voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Securitybedrijven lieten vorige week weten dat het beveiligingslek al weken actief misbruikt is bij aanvallen. Fortinet heeft het probleem eerder al in nieuwe versies verholpen, maar geen melding gemaakt dat de kwetsbaarheid bestond of actief werd misbruikt.
In een nieuw beveiligingsbulletin van 14 november bevestigt het securitybedrijf het bestaan van CVE-2025-64446 en dat er actief misbruik van wordt gemaakt. Het beveiligingslek is verholpen in FortiWeb 8.0.2, 7.6.5, 7.4.10, 7.2.12 en 7.0.12. Deze versies verschenen de afgelopen maanden al, maar nergens in de release notes wordt de aanwezigheid van het lek gemeld.
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kan federale overheidsinstanties verplichten om actief aangevallen lekken te patchen. Normaliter wordt hiervoor een periode van drie weken gehanteerd. In dit geval heeft het CISA overheidsinstanties opgedragen de patch van Fortinet binnen een week te installeren.
Securitybedrijf Qualys heeft Indicators of Compromise (IoC's) gepubliceerd waarmee organisaties kunnen controleren of hun FortiWeb-firewall is gecompromitteerd. "Controleer de FortiWeb-omgeving op aanwezigheid van de volgende indicatoren van beveiligingsbedrijf Qualys. Aanwezigheid kan duiden op misbruik van de kwetsbaarheid", zo laat het Nationaal Cyber Security Centrum (NCSC) weten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?