Fortinet fixt kritieke zeroday in FortiWeb-firewall na weken van actief misbruik

Fortinet heeft bevestigd wat securityonderzoekers al concludeerden: updates van eind oktober verhelpen een zerodaykwetsbaarheid in zijn FortiWeb-firewall waarop al actieve hackaanvallen plaatsvonden. In een beveiligingsadvies van vrijdag koppelt het bedrijf deze patches expliciet aan de kwetsbaarheid.

Het betreft een kwetsbaarheid waarmee aanvallers zonder authenticatie beheerdersrechten kunnen verkrijgen, inclusief het aanmaken van nieuwe adminaccounts. Het beveiligingslek bevindt zich in FortiWeb, de webapplicatiefirewall van Fortinet, en misbruik gebeurt via speciaal geconstrueerde HTTP‑ of Https‑verzoeken. Fortinet meldt in zijn advies van vrijdag 14 november dat het actief misbruik in de praktijk heeft waargenomen.

De update, die Fortinet voor vijf verschillende softwareversies beschikbaar stelt, staat sinds eind oktober online. Bleeping Computer meldt dat Fortinet bevestigt dat de fix voor deze kritieke zeroday destijds stilletjes is uitgebracht. De update verscheen drie weken na de eerste melding door onderzoekers van actief misbruik, waarbij tevens testcode werd gepubliceerd die het misbruik aantoont.

Als tijdelijke maatregel adviseert Fortinet beheerders om HTTP‑ en Https‑toegang tot de beheerinterface via internet uit te schakelen. Deze workaround wordt aanbevolen totdat systemen zijn bijgewerkt. Wanneer de beheerinterface alleen vanaf interne netwerken bereikbaar is − wat Fortinet standaard aanraadt − is het risico aanmerkelijk kleiner.

De kwetsbaarheid (CVE-2025-64446) treft softwareversies 8.0 tot en met 8.0.1, 7.6.0 tot en met 7.6.4, 7.4.0 tot en met 7.4.9, 7.2.0 tot en met 7.2.11 en 7.0.0 tot en met 7.0.11. Voor al deze releases biedt Fortinet een update die het laatste versienummer ophoogt, en analyse van die nieuwe versies bevestigt dat de zerodaykwetsbaarheid is verholpen.