Black Friday = Pricewatch Bekijk onze selectie van de beste Black Friday-deals en voorkom een miskoop.

Fortinet fixt kritieke zeroday in FortiWeb-firewall na weken van actief misbruik

Fortinet heeft bevestigd wat securityonderzoekers al concludeerden: updates van eind oktober verhelpen een zerodaykwetsbaarheid in zijn FortiWeb-firewall waarop al actieve hackaanvallen plaatsvonden. In een beveiligingsadvies van vrijdag koppelt het bedrijf deze patches expliciet aan de kwetsbaarheid.

Het betreft een kwetsbaarheid waarmee aanvallers zonder authenticatie beheerdersrechten kunnen verkrijgen, inclusief het aanmaken van nieuwe adminaccounts. Het beveiligingslek bevindt zich in FortiWeb, de webapplicatiefirewall van Fortinet, en misbruik gebeurt via speciaal geconstrueerde HTTP‑ of Https‑verzoeken. Fortinet meldt in zijn advies van vrijdag 14 november dat het actief misbruik in de praktijk heeft waargenomen.

De update, die Fortinet voor vijf verschillende softwareversies beschikbaar stelt, staat sinds eind oktober online. Bleeping Computer meldt dat Fortinet bevestigt dat de fix voor deze kritieke zeroday destijds stilletjes is uitgebracht. De update verscheen drie weken na de eerste melding door onderzoekers van actief misbruik, waarbij tevens testcode werd gepubliceerd die het misbruik aantoont.

Als tijdelijke maatregel adviseert Fortinet beheerders om HTTP‑ en Https‑toegang tot de beheerinterface via internet uit te schakelen. Deze workaround wordt aanbevolen totdat systemen zijn bijgewerkt. Wanneer de beheerinterface alleen vanaf interne netwerken bereikbaar is − wat Fortinet standaard aanraadt − is het risico aanmerkelijk kleiner.

De kwetsbaarheid (CVE-2025-64446) treft softwareversies 8.0 tot en met 8.0.1, 7.6.0 tot en met 7.6.4, 7.4.0 tot en met 7.4.9, 7.2.0 tot en met 7.2.11 en 7.0.0 tot en met 7.0.11. Voor al deze releases biedt Fortinet een update die het laatste versienummer ophoogt, en analyse van die nieuwe versies bevestigt dat de zerodaykwetsbaarheid is verholpen.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 17-11-2025 15:49
41 • submitter: Tribits

17-11-2025 • 15:49

41

Submitter: Tribits

Lees meer

Inlichtingendiensten waarschuwen wereldwijd voor gehackte routers door China
Inlichtingendiensten waarschuwen wereldwijd voor gehackte routers door China Nieuws van 27 augustus 2025
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt Nieuws van 14 augustus 2025
Kritieke kwetsbaarheid FortiSwitch maakte veranderen adminwachtwoorden mogelijk
Kritieke kwetsbaarheid FortiSwitch maakte veranderen adminwachtwoorden mogelijk Nieuws van 8 april 2025
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls Nieuws van 16 januari 2025
Meer producten en artikelen
Netwerk en systeembeheer Bedrijfsnieuws Fortinet Beveiliging Cybersecurity Firewall Hack Security Update

Reacties (41)

-Moderatie-faq
41
40
16
2
0
18
Wijzig sortering

Sorteer op:

Weergave:
Scriptkid 17 november 2025 15:57
??

Dus er komt nu pas data naar boven over een patch van 2 weken geleden met een zeer critieke CVE,

Waarom is dit niet meteen in oktober al gemeld zodat bedrijven sneller gingen patchen, dit klinkt allemaal een beetje alsof forti wat onder de mat wil schuiven
Reageer
Gemeni @Scriptkid17 november 2025 16:05
Bij een grootschalig bericht alarmeer je natuurlijk zowel de klant als de hackers.

Eigenlijk zou elk bedrijf natuurlijk zo snel mogelijk de software moeten bijwerken naar de laatste versie…
Reageer
dasiro @Gemeni17 november 2025 18:18
Fortinet stuurt regelmatig confidentials uit naar zijn verdelers en klanten soms zonder aan de grote klok te hangen wat er exact mis is.

"zo snel mogelijk" is vaak ook afhankelijk van procedures waarin een cooldown-periode kan voorzien zijn, die op zich al dan niet afhankelijk is van de criticality van de exploit/fix.
Reageer
daanb14 @dasiro17 november 2025 20:09
Lang niet alle partners krijgen die echter. Dus ook voor veel partners is het een verrassing en hoor je het pas als het publieke kennis is.

Bij veel software geldt: als een softwareleverancier ineens een update uitbrengt voor heel veel branches, ook branches die alleen nog ondersteund worden op oude apparatuur, kun je het best preventief patchen.

Wat ik hier persoonlijk van vind? We zouden lang en breed moeten weten dat security by obscurity niet werkt.
Reageer
naaitsab @Gemeni17 november 2025 18:56
Klopt, daarom zijn notificaties vaak zo vaag. Kijk naar Chromium "er is iets mis met de V8 interpreter". Dat zegt precies niks. Na een aantal maanden geven ze vaak wel meer details vrij. Behalve dat er een flinke CVE score achter hangt.

Over het algemeen zijn het onderzoekers die vaak met een PoC aantonen hoe het lek daadwerkelijk werkt. Zo was van dit lek ook al enige tijd de daadwerkelijke werking bekend. Als je een CVE lek van 9.8 op je netwerkapparatuur niet direct patched ben je niet slim bezig. Met of zonder reden zou dit genoeg moeten zijn voor een emergency patch ronde op je apparatuur. Dus ik snap niet helemaal waarom mensen hier zo verbaasd over reageren. Kwetsbaarheden monitor (actief dan wel vanuit de leverancier of instanties als NVD) en zsm internet facing spul patchen is nogal 101 in de IT tegenwoordig.
Reageer
DDX @Scriptkid17 november 2025 16:04
patch van 2 maanden geleden zelfs...
Reageer
JWL92 @DDX17 november 2025 16:14
Oktober was toch vorige maand, of mis ik/ 't artikel iets?
Reageer
DDX @JWL9217 november 2025 16:25
fortios 7.2.12 die dit zou oplossen is op 10-9-2025 released
Reageer
Stanmeijer @DDX17 november 2025 16:50
Hier haal je FortiOS (Firewalls) en de FortiWeb door elkaar. De 7.2.12 van de FortiWeb is 28-10-2025 gereleased. dit geldt ook voor de 7.0.12 en 8.0.2.
De 7.4.11 en 7.6.6 van de Frotiweb FortiWeb zijn op 05-11-2025 gereleased.

[Reactie gewijzigd door Stanmeijer op 17 november 2025 16:51]

Reageer
DDX @Stanmeijer17 november 2025 17:24
Ja klopt, ik was in de war gebracht door titel van dit nieuwsbericht...
Reageer
NeuroTechie @Scriptkid17 november 2025 17:02
Nee, er wordt van bedrijven verwacht dat ze zeker hun netwerkapparatuur continu bijwerken (wat geheel logisch is). Als je vanaf dag één een persbericht uitstuurt, dan gaan tienduizenden hackers en farms aan de slag om bedrijven te hacken en misbruik te gaan maken van verschillende zwakheden, terwijl de helft van de wereld nog lekker aan het slapen is en nog niets doorheeft.
Reageer
DDX 17 november 2025 16:03
FortiOS 7.2.12 is beging september gereleased, maar dat was toen geen security update.
Nu ruim 2 maanden later was het dus schijnbaar wel een security update...

Maar volgens mij valt het mee als je ip whitelisting hebt op je management interface :
A relative path traversal vulnerability [CWE-23] in FortiWeb may allow an unauthenticated attacker to execute administrative commands on the system via crafted HTTP or HTTPS requests.
Reageer
_JGC_ @DDX17 november 2025 16:08
Het zal ook heel erg meevallen als je HTTP en HTTPS niet open hebt staan naar het boze internet.
Reageer
DDX @_JGC_17 november 2025 16:09
En als je dat wel doet op een firewall vraag je er eigenlijk wel om...
Reageer
dasiro @_JGC_17 november 2025 18:23
die "crafted request" gaan niet naar het internet, maar vanuit je client naar je firewall ;) daarom dat je dit soort traffic liefst enkel vanuit je management-toestellen naar je management-interface toelaat om dit soort aanvallen te minimaliseren en liefst draai je die nog op custom poorten zodanig dat connecties naar poorten 80 en 443 gewoon geen antwoord krijgen.
Reageer
satya @_JGC_17 november 2025 18:55
Met een Fortiweb is dat precies de bedoeling, maar laat je de toegang tot het management dicht. Dat doe je per definitie alleen van binnenuit.
Reageer
CyberTijn @DDX17 november 2025 16:30
Het gaat hier om FortiWeb, niet om FortiGates. Heel ander product. FortiOS is voor FortiGates, en daar is ook een versie 7.2.12 voor uit gekomen, maar die heeft hier niets mee te maken.

[Reactie gewijzigd door CyberTijn op 17 november 2025 17:00]

Reageer
DDX @CyberTijn17 november 2025 17:25
Ja klopt, ik was in de war gebracht door titel van dit nieuwsbericht....
Reageer
dutchgio 17 november 2025 16:06
De beheerinterface van de firewall hoort natuurlijk al niet open te staan vanaf internet, dat lijkt me niet echt een tijdelijke maatregel of workaround.
Reageer
nelizmastr @dutchgio17 november 2025 16:12
FortiWeb is echter alleen een WAF en beschermt dus maar heel specifiek. Het gaat hier niet om FortiGate.
Reageer
DDX @nelizmastr17 november 2025 16:27
nuttige toevoeging
Reageer
[Yellow] @nelizmastr17 november 2025 17:21
FortiWeb is echter alleen een WAF en beschermt dus maar heel specifiek. Het gaat hier niet om FortiGate.
Het gaat over de webinterface GUI. Het gaat dus alleen over Foritgate en helemaal niet over WAF.
Reageer
Shinji @[Yellow]17 november 2025 17:46
Het gaat hier over een specifiek product: FortiWeb van Fortinet. FortiWeb is een WAF. Het gaat dus niet over FortiGates.
Reageer
nelizmastr @[Yellow]17 november 2025 21:54
Verdiep je eerst eens in hun portfolio. Neem een shotje bij elke keer dat je Forti leest als onderdeel van een productnaam ;)

Fortiweb is niet synoniem voor de webinterface van een Fortigate maar een op zichzelf staand product, specifiek bedoeld als WAF waar dit op een Fortigate een WAF functie heeft maar veel meer kan.
Reageer
themadone @dutchgio17 november 2025 16:12
Ik blijf me daar ook over verbazen, ik kan me toch geen enkele use case voorstellen waarin dit noodzakelijk is, je zou immers met een cliënt vpn naar de firewall zelf kunnen lijkt me of via een goto achtige oplossing hop off point pakken en vanuit daar verder.

Ik gebruik veel verschillende firewall merken maar bij eigenlijk allemaal is het of een bewuste actie om dit te doen of wordt het gewoon geblokkeerd. Staat dit bij fortigate standaard open ofzo?

Voor alle collega beheerders, 1=geen, dus alleen op je fortigate leunen voor je security is onverstandig. Houdt daar rekening mee in de inrichting van je beheers omgeving en je hoeft nooit te stressen bij dit soort berichten.

Kleine sidenote, het is wel vaak loos bij fortigate en staat bij mij al tijden niet meer op de shortlist bij vervangingen van bestaand spul.
Reageer
Shinji @themadone17 november 2025 17:54
Het gaat om de FortiWeb, wat een Web Application Firewall (WAF) is. Deze is dus specifiek om bijvoorbeeld je website achter te hosten. HTTP en HTTPS verkeer naar het ding toestaan is dus juist de use case van dit product anders is je website niet bereikbaar. Vervolgens zou het apparaat bekende aanvallen tegen moeten houden.
Reageer
daanb14 @Shinji17 november 2025 20:13
Precies. Het is ook niet alsof HAProxy en Nginx constant lekgeprikt worden. Kwetsbaarheden daarin zijn extreem zeldzaam.
Reageer
themadone @Shinji17 november 2025 20:46
Uit het artikel:
Als tijdelijke maatregel adviseert Fortinet beheerders om HTTP‑ en Https‑toegang tot de beheerinterface via internet uit te schakelen.
Dus wel degelijk mogelijk om de beheersinterface anders te behandelen als de normale traffic lijkt me dan? Als het een firewall was geweest moet hij ook 443 accepteren voor onderliggende services, mijn punt is dat je je beheersinterface nooit aan het internet moet hangen want op basis van het artikel is dat waar het probleem zit. Zelfs als je via een random https request naar de achterliggende webserver een account zou kunnen aanmaken behoor je nog steeds niet zomaar bij die interface te kunnen.
Reageer
nexhil 17 november 2025 16:15
Het beveiligingslek bevindt zich in FortiWeb, de webapplicatiefirewall van Fortinet
Deze kwetsbaarheid zit volgens mij alleen in de Fortiwebs. Niet in de Fortigates die ook WAF's zijn

(Dit is even ter verduidelijking)

[Reactie gewijzigd door nexhil op 17 november 2025 16:40]

Reageer
mduijm @nexhil17 november 2025 17:20
fortigate is geen waf ;) heeft hooguit een paar ips filter voor webservers.. maar het een WAF noemen is wel erg mooi maken wat het kan :)
Reageer
SHFT @nexhil17 november 2025 16:44
FortiWeb is natuurlijk ook een firewall maar het mag misschien wel een beetje duidelijker zijn dat het niet om de FortiGate firewalls gaat.
Reageer
CH4OS 17 november 2025 16:00
Het NCSC heeft afgelopen zaterdag hierover ook een bericht de deur uit gedaan.
Reageer
Keypunchie
17 november 2025 16:16
Dat wordt je Fortinet door de shredder halen.

Overigens (lekker mosterd na de maaltijd) is het altijd verstandig om je beheerinterface *niet* aan het internet te hangen. Ja, dat betekent dat een engineer voor beheerwerkzaamheden naar een kantoor met vertrouwd netwerk toe moet, maar je maakt wel je attack surface een *stuk* kleiner.

En een pro-actief patch-beleid, hoewel 2 weken dan wel aan de korte kant is, aangezien je bij enigszins gevoelige omgevingen ook je Acceptatie wilt doen...
Reageer
magnifor @Keypunchie17 november 2025 17:04
Je hebt een VPN dus je hoeft in de meeste gevallen niet eens op locatie aanwezig te zijn zolang er internet is en de VPN werkt. Hoe dan ook als jij je beheerdersinterface exposed naar het WWW dan vraag je er ook om. Check dit eens: https://www.shodan.io/search?query=FortiGate

Bijna 600.000 Forti apparatuur die rechtstreeks vanuit buiten is te bereiken. Dit is letterlijk "kom en hack mij" oproep aan kwaadwillenden.
Reageer
phYzar 17 november 2025 16:13
Mijn hoofd maakte er Fortnite van, ik snapte al niks van het bericht, tijd voor koffie.
Reageer
locke960 17 november 2025 16:41
Als tijdelijke maatregel adviseert Fortinet beheerders om HTTP‑ en Https‑toegang tot de beheerinterface via internet uit te schakelen.
Dat staat er niet. Fortinet adviseert al het HTTP en HTPS verkeer uit te schakelen. Punt. Met andere woorden, zet het apparaat maar uit:
Disable HTTP or HTTPS for internet facing interfaces. Fortinet recommends taking this action until an upgrade can be performed. If the HTTP/HTTPS Management interface is internally accessible only as per best practice, the risk is significantly reduced.
Fortinet raad dus expliciet niet aan alleen de beheersinterface uit te schakelen. Logisch, want in de volgende zin staat dat er dan nog steeds een risico is, met de betekenisloze kwalificatie "signficantly reduced." Mooie woorden om de verantwoordelijkheid voor de moeilijke keuze "uitzetten of ongespecificeerde risico's" lopen bij de klant neer te leggen. Altijd handig als je aangeklaagd wordt.
Reageer
qbig1970 17 november 2025 16:51
Ik dacht werkelijk waar dat er Fortnite moest staan...

Silly me.
Reageer
Simon Weel 17 november 2025 18:04
Zucht. Zat ik Fortinet te overwegen in plaats van Sonicwall gezien hun gepruts in september.....
Reageer
D_Jeff @Simon Weel17 november 2025 19:26
Als Firewall of als Web application Firewall?

FortiWeb is namelijk een WAF en doet hele andere dingen dan de Fortigate (firewall).

Als laatste is het goed om te weten dat geen merk schoon (er valt altijd wel wat te vinden). Belangrijker zou moeten zijn hoe dat opgepakt wordt
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq