Na berichtgeving door verschillende securitybedrijven heeft ook Fortinet nu bevestigd dat aanvallers actief misbruik maken van een path traversal-lek in de FortiWeb web application firewall (WAF). Het Amerikaanse cyberagentschap CISA heeft federale overheidsinstanties opgedragen de kwetsbaarheid binnen een week te patchen. FortiWeb is een apparaat dat applicaties tegen aanvallen moet beschermen.

Het path traversal-lek in FortiWeb, aangeduid als CVE-2025-64446, maakt het mogelijk voor een ongeauthenticeerde aanvaller om via HTTP- of HTTPS-requests willekeurige admin-commando's op het systeem uit te voeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Securitybedrijven lieten vorige week weten dat het beveiligingslek al weken actief misbruikt is bij aanvallen. Fortinet heeft het probleem eerder al in nieuwe versies verholpen, maar geen melding gemaakt dat de kwetsbaarheid bestond of actief werd misbruikt.

In een nieuw beveiligingsbulletin van 14 november bevestigt het securitybedrijf het bestaan van CVE-2025-64446 en dat er actief misbruik van wordt gemaakt. Het beveiligingslek is verholpen in FortiWeb 8.0.2, 7.6.5, 7.4.10, 7.2.12 en 7.0.12. Deze versies verschenen de afgelopen maanden al, maar nergens in de release notes wordt de aanwezigheid van het lek gemeld.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security kan federale overheidsinstanties verplichten om actief aangevallen lekken te patchen. Normaliter wordt hiervoor een periode van drie weken gehanteerd. In dit geval heeft het CISA overheidsinstanties opgedragen de patch van Fortinet binnen een week te installeren.

Securitybedrijf Qualys heeft Indicators of Compromise (IoC's) gepubliceerd waarmee organisaties kunnen controleren of hun FortiWeb-firewall is gecompromitteerd. "Controleer de FortiWeb-omgeving op aanwezigheid van de volgende indicatoren van beveiligingsbedrijf Qualys. Aanwezigheid kan duiden op misbruik van de kwetsbaarheid", zo laat het Nationaal Cyber Security Centrum (NCSC) weten.