Fortinet fixt kritieke zeroday in FortiWeb-firewall na weken van actief misbruik

Fortinet heeft bevestigd wat securityonderzoekers al concludeerden: updates van eind oktober verhelpen een zerodaykwetsbaarheid in zijn FortiWeb-firewall waarop al actieve hackaanvallen plaatsvonden. In een beveiligingsadvies van vrijdag koppelt het bedrijf deze patches expliciet aan de kwetsbaarheid.

Het betreft een kwetsbaarheid waarmee aanvallers zonder authenticatie beheerdersrechten kunnen verkrijgen, inclusief het aanmaken van nieuwe adminaccounts. Het beveiligingslek bevindt zich in FortiWeb, de webapplicatiefirewall van Fortinet, en misbruik gebeurt via speciaal geconstrueerde HTTP‑ of Https‑verzoeken. Fortinet meldt in zijn advies van vrijdag 14 november dat het actief misbruik in de praktijk heeft waargenomen.

De update, die Fortinet voor vijf verschillende softwareversies beschikbaar stelt, staat sinds eind oktober online. Bleeping Computer meldt dat Fortinet bevestigt dat de fix voor deze kritieke zeroday destijds stilletjes is uitgebracht. De update verscheen drie weken na de eerste melding door onderzoekers van actief misbruik, waarbij tevens testcode werd gepubliceerd die het misbruik aantoont.

Als tijdelijke maatregel adviseert Fortinet beheerders om HTTP‑ en Https‑toegang tot de beheerinterface via internet uit te schakelen. Deze workaround wordt aanbevolen totdat systemen zijn bijgewerkt. Wanneer de beheerinterface alleen vanaf interne netwerken bereikbaar is − wat Fortinet standaard aanraadt − is het risico aanmerkelijk kleiner.

De kwetsbaarheid (CVE-2025-64446) treft softwareversies 8.0 tot en met 8.0.1, 7.6.0 tot en met 7.6.4, 7.4.0 tot en met 7.4.9, 7.2.0 tot en met 7.2.11 en 7.0.0 tot en met 7.0.11. Voor al deze releases biedt Fortinet een update die het laatste versienummer ophoogt, en analyse van die nieuwe versies bevestigt dat de zerodaykwetsbaarheid is verholpen.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 17-11-2025 15:49
50 • submitter: Tribits

17-11-2025 • 15:49

50

Submitter: Tribits

Lees meer

Inlichtingendiensten waarschuwen wereldwijd voor gehackte routers door China
Inlichtingendiensten waarschuwen wereldwijd voor gehackte routers door China Nieuws van 27 augustus 2025
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt
FortiSIEM bevat kritieke kwetsbaarheid die actief misbruikt wordt Nieuws van 14 augustus 2025
Kritieke kwetsbaarheid FortiSwitch maakte veranderen adminwachtwoorden mogelijk
Kritieke kwetsbaarheid FortiSwitch maakte veranderen adminwachtwoorden mogelijk Nieuws van 8 april 2025
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls
Fortinet waarschuwt voor actief misbruikte zeroday in FortiGate-firewalls Nieuws van 16 januari 2025
Meer producten en artikelen
Netwerk en systeembeheer Bedrijfsnieuws Fortinet Beveiliging Cybersecurity Firewall Hack Security Update

Reacties (50)

-Moderatie-faq
50
48
23
2
0
17
Wijzig sortering

Sorteer op:

Weergave:
Scriptkid 17 november 2025 15:57
??

Dus er komt nu pas data naar boven over een patch van 2 weken geleden met een zeer critieke CVE,

Waarom is dit niet meteen in oktober al gemeld zodat bedrijven sneller gingen patchen, dit klinkt allemaal een beetje alsof forti wat onder de mat wil schuiven
Reageer
Gemeni @Scriptkid17 november 2025 16:05
Bij een grootschalig bericht alarmeer je natuurlijk zowel de klant als de hackers.

Eigenlijk zou elk bedrijf natuurlijk zo snel mogelijk de software moeten bijwerken naar de laatste versie…
Reageer
dasiro @Gemeni17 november 2025 18:18
Fortinet stuurt regelmatig confidentials uit naar zijn verdelers en klanten soms zonder aan de grote klok te hangen wat er exact mis is.

"zo snel mogelijk" is vaak ook afhankelijk van procedures waarin een cooldown-periode kan voorzien zijn, die op zich al dan niet afhankelijk is van de criticality van de exploit/fix.
Reageer
daanb14 @dasiro17 november 2025 20:09
Lang niet alle partners krijgen die echter. Dus ook voor veel partners is het een verrassing en hoor je het pas als het publieke kennis is.

Bij veel software geldt: als een softwareleverancier ineens een update uitbrengt voor heel veel branches, ook branches die alleen nog ondersteund worden op oude apparatuur, kun je het best preventief patchen.

Wat ik hier persoonlijk van vind? We zouden lang en breed moeten weten dat security by obscurity niet werkt.
Reageer
Immutable @dasiro18 november 2025 02:33
Kunnen Nederlandse bedrijven stoppen met fortinet? Zelf ook. En het is tot nu toe de meest kutte oplossing waar ik mee heb gewerkt. Echt het zorgt voor enorme veel verloren werkuren. Kan die shit wel afschieten.
Reageer
OuweDorper @Immutable18 november 2025 10:19
Je hebt 3 reacties geplaatst die het allemaal hebben over stoppen met Fortinet, afschieten die handel en nog meer onzin.

Wat voor alternatief draag je aan? Wat voor andere oplossing heb je wel goede ervaringen mee?
Reageer
SunnieNL @Gemeni18 november 2025 09:20
Dat is bij een patch absoluut geen reden om het niet groot te melden. Nu heb je klanten bijna bewust 2 weken het gevoel gegeven dat de patch niet zo'n haast had. De aanvallers waren al op de hoogte en er was 3 weken ervoor al een actieve exploit. Fortinet heeft hier echt wel een grote steek laten vallen door het stilletjes uit te brengen en niet gelijk te roepen dat je direct moest upgraden. Valt mij nog mee dat hij niet direct op de CISA KEV lijst is gekomen en dat die ook gewacht hebben tot het bericht van vrijdag. (wat bijna inhoud dat ook zij niet op de hoogte waren)
De update verscheen drie weken na de eerste melding door onderzoekers van actief misbruik, waarbij tevens testcode werd gepubliceerd die het misbruik aantoont.

[Reactie gewijzigd door SunnieNL op 18 november 2025 09:23]

Reageer
naaitsab @Gemeni17 november 2025 18:56
Klopt, daarom zijn notificaties vaak zo vaag. Kijk naar Chromium "er is iets mis met de V8 interpreter". Dat zegt precies niks. Na een aantal maanden geven ze vaak wel meer details vrij. Behalve dat er een flinke CVE score achter hangt.

Over het algemeen zijn het onderzoekers die vaak met een PoC aantonen hoe het lek daadwerkelijk werkt. Zo was van dit lek ook al enige tijd de daadwerkelijke werking bekend. Als je een CVE lek van 9.8 op je netwerkapparatuur niet direct patched ben je niet slim bezig. Met of zonder reden zou dit genoeg moeten zijn voor een emergency patch ronde op je apparatuur. Dus ik snap niet helemaal waarom mensen hier zo verbaasd over reageren. Kwetsbaarheden monitor (actief dan wel vanuit de leverancier of instanties als NVD) en zsm internet facing spul patchen is nogal 101 in de IT tegenwoordig.
Reageer
DDX @Scriptkid17 november 2025 16:04
patch van 2 maanden geleden zelfs...
Reageer
JWL92 @DDX17 november 2025 16:14
Oktober was toch vorige maand, of mis ik/ 't artikel iets?
Reageer
DDX @JWL9217 november 2025 16:25
fortios 7.2.12 die dit zou oplossen is op 10-9-2025 released
Reageer
Stanmeijer @DDX17 november 2025 16:50
Hier haal je FortiOS (Firewalls) en de FortiWeb door elkaar. De 7.2.12 van de FortiWeb is 28-10-2025 gereleased. dit geldt ook voor de 7.0.12 en 8.0.2.
De 7.4.11 en 7.6.6 van de Frotiweb FortiWeb zijn op 05-11-2025 gereleased.

[Reactie gewijzigd door Stanmeijer op 17 november 2025 16:51]

Reageer
DDX @Stanmeijer17 november 2025 17:24
Ja klopt, ik was in de war gebracht door titel van dit nieuwsbericht...
Reageer
Immutable @Stanmeijer18 november 2025 02:34
Gewoon kappen met die fortinet shit. Ik wil het liefst dat mijn werkgever die shit van mijn PC haalt. Absoluut niet mee te werken. Ik snap niet waarom bedrijven dit gebruiken. Het als een soort Martel wapen voor je personeel.
Reageer
NeuroTechie @Scriptkid17 november 2025 17:02
Nee, er wordt van bedrijven verwacht dat ze zeker hun netwerkapparatuur continu bijwerken (wat geheel logisch is). Als je vanaf dag één een persbericht uitstuurt, dan gaan tienduizenden hackers en farms aan de slag om bedrijven te hacken en misbruik te gaan maken van verschillende zwakheden, terwijl de helft van de wereld nog lekker aan het slapen is en nog niets doorheeft.
Reageer
nullbyte @Scriptkid18 november 2025 17:13
Dat zal best gemeld zijn, maar dan aan een selecte groep gebruikers.

https://www.ncsc.nl/aansl...raffic-light-protocol-tlp
Reageer
DDX 17 november 2025 16:03
FortiOS 7.2.12 is beging september gereleased, maar dat was toen geen security update.
Nu ruim 2 maanden later was het dus schijnbaar wel een security update...

Maar volgens mij valt het mee als je ip whitelisting hebt op je management interface :
A relative path traversal vulnerability [CWE-23] in FortiWeb may allow an unauthenticated attacker to execute administrative commands on the system via crafted HTTP or HTTPS requests.
Reageer
_JGC_ @DDX17 november 2025 16:08
Het zal ook heel erg meevallen als je HTTP en HTTPS niet open hebt staan naar het boze internet.
Reageer
DDX @_JGC_17 november 2025 16:09
En als je dat wel doet op een firewall vraag je er eigenlijk wel om...
Reageer
dasiro @_JGC_17 november 2025 18:23
die "crafted request" gaan niet naar het internet, maar vanuit je client naar je firewall ;) daarom dat je dit soort traffic liefst enkel vanuit je management-toestellen naar je management-interface toelaat om dit soort aanvallen te minimaliseren en liefst draai je die nog op custom poorten zodanig dat connecties naar poorten 80 en 443 gewoon geen antwoord krijgen.
Reageer
tvtech @dasiro18 november 2025 16:40
Oei, security through obscurity is niet echt een sterk plan hoor
Reageer
dasiro @tvtech18 november 2025 17:21
management-interfaces en custom poorten gebruiken zijn een good/best-practice, dat is ook een van de redenen waarom ze die mogelijkheid er in steken, dat is dus op zich geen obscurity voor admins. Users hebben daar helemaal niets op te zoeken.
Reageer
satya @_JGC_17 november 2025 18:55
Met een Fortiweb is dat precies de bedoeling, maar laat je de toegang tot het management dicht. Dat doe je per definitie alleen van binnenuit.
Reageer
Erikkamm @satya18 november 2025 09:20
Dat geldt ook als best practice! En niet alleen voor Fortinet producten. Bovendien doe je beheer vanaf een stepstone die als enige bij het beheer-interface kan. Zo verklein je het aanvalsoppervlak.
Reageer
CyberTijn @DDX17 november 2025 16:30
Het gaat hier om FortiWeb, niet om FortiGates. Heel ander product. FortiOS is voor FortiGates, en daar is ook een versie 7.2.12 voor uit gekomen, maar die heeft hier niets mee te maken.

[Reactie gewijzigd door CyberTijn op 17 november 2025 17:00]

Reageer
DDX @CyberTijn17 november 2025 17:25
Ja klopt, ik was in de war gebracht door titel van dit nieuwsbericht....
Reageer
dutchgio 17 november 2025 16:06
De beheerinterface van de firewall hoort natuurlijk al niet open te staan vanaf internet, dat lijkt me niet echt een tijdelijke maatregel of workaround.
Reageer
themadone @dutchgio17 november 2025 16:12
Ik blijf me daar ook over verbazen, ik kan me toch geen enkele use case voorstellen waarin dit noodzakelijk is, je zou immers met een cliënt vpn naar de firewall zelf kunnen lijkt me of via een goto achtige oplossing hop off point pakken en vanuit daar verder.

Ik gebruik veel verschillende firewall merken maar bij eigenlijk allemaal is het of een bewuste actie om dit te doen of wordt het gewoon geblokkeerd. Staat dit bij fortigate standaard open ofzo?

Voor alle collega beheerders, 1=geen, dus alleen op je fortigate leunen voor je security is onverstandig. Houdt daar rekening mee in de inrichting van je beheers omgeving en je hoeft nooit te stressen bij dit soort berichten.

Kleine sidenote, het is wel vaak loos bij fortigate en staat bij mij al tijden niet meer op de shortlist bij vervangingen van bestaand spul.
Reageer
Shinji @themadone17 november 2025 17:54
Het gaat om de FortiWeb, wat een Web Application Firewall (WAF) is. Deze is dus specifiek om bijvoorbeeld je website achter te hosten. HTTP en HTTPS verkeer naar het ding toestaan is dus juist de use case van dit product anders is je website niet bereikbaar. Vervolgens zou het apparaat bekende aanvallen tegen moeten houden.
Reageer
daanb14 @Shinji17 november 2025 20:13
Precies. Het is ook niet alsof HAProxy en Nginx constant lekgeprikt worden. Kwetsbaarheden daarin zijn extreem zeldzaam.
Reageer
themadone @Shinji17 november 2025 20:46
Uit het artikel:
Als tijdelijke maatregel adviseert Fortinet beheerders om HTTP‑ en Https‑toegang tot de beheerinterface via internet uit te schakelen.
Dus wel degelijk mogelijk om de beheersinterface anders te behandelen als de normale traffic lijkt me dan? Als het een firewall was geweest moet hij ook 443 accepteren voor onderliggende services, mijn punt is dat je je beheersinterface nooit aan het internet moet hangen want op basis van het artikel is dat waar het probleem zit. Zelfs als je via een random https request naar de achterliggende webserver een account zou kunnen aanmaken behoor je nog steeds niet zomaar bij die interface te kunnen.
Reageer
nelizmastr @dutchgio17 november 2025 16:12
FortiWeb is echter alleen een WAF en beschermt dus maar heel specifiek. Het gaat hier niet om FortiGate.
Reageer
[Yellow] @nelizmastr17 november 2025 17:21
FortiWeb is echter alleen een WAF en beschermt dus maar heel specifiek. Het gaat hier niet om FortiGate.
Het gaat over de webinterface GUI. Het gaat dus alleen over Foritgate en helemaal niet over WAF.
Reageer
Shinji @[Yellow]17 november 2025 17:46
Het gaat hier over een specifiek product: FortiWeb van Fortinet. FortiWeb is een WAF. Het gaat dus niet over FortiGates.
Reageer
nelizmastr @[Yellow]17 november 2025 21:54
Verdiep je eerst eens in hun portfolio. Neem een shotje bij elke keer dat je Forti leest als onderdeel van een productnaam ;)

Fortiweb is niet synoniem voor de webinterface van een Fortigate maar een op zichzelf staand product, specifiek bedoeld als WAF waar dit op een Fortigate een WAF functie heeft maar veel meer kan.
Reageer
DDX @nelizmastr17 november 2025 16:27
nuttige toevoeging
Reageer
nexhil 17 november 2025 16:15
Het beveiligingslek bevindt zich in FortiWeb, de webapplicatiefirewall van Fortinet
Deze kwetsbaarheid zit volgens mij alleen in de Fortiwebs. Niet in de Fortigates die ook WAF's zijn

(Dit is even ter verduidelijking)

[Reactie gewijzigd door nexhil op 17 november 2025 16:40]

Reageer
mduijm @nexhil17 november 2025 17:20
fortigate is geen waf ;) heeft hooguit een paar ips filter voor webservers.. maar het een WAF noemen is wel erg mooi maken wat het kan :)
Reageer
SHFT @nexhil17 november 2025 16:44
FortiWeb is natuurlijk ook een firewall maar het mag misschien wel een beetje duidelijker zijn dat het niet om de FortiGate firewalls gaat.
Reageer
CH4OS 17 november 2025 16:00
Het NCSC heeft afgelopen zaterdag hierover ook een bericht de deur uit gedaan.
Reageer
Keypunchie
17 november 2025 16:16
Dat wordt je Fortinet door de shredder halen.

Overigens (lekker mosterd na de maaltijd) is het altijd verstandig om je beheerinterface *niet* aan het internet te hangen. Ja, dat betekent dat een engineer voor beheerwerkzaamheden naar een kantoor met vertrouwd netwerk toe moet, maar je maakt wel je attack surface een *stuk* kleiner.

En een pro-actief patch-beleid, hoewel 2 weken dan wel aan de korte kant is, aangezien je bij enigszins gevoelige omgevingen ook je Acceptatie wilt doen...
Reageer
magnifor @Keypunchie17 november 2025 17:04
Je hebt een VPN dus je hoeft in de meeste gevallen niet eens op locatie aanwezig te zijn zolang er internet is en de VPN werkt. Hoe dan ook als jij je beheerdersinterface exposed naar het WWW dan vraag je er ook om. Check dit eens: https://www.shodan.io/search?query=FortiGate

Bijna 600.000 Forti apparatuur die rechtstreeks vanuit buiten is te bereiken. Dit is letterlijk "kom en hack mij" oproep aan kwaadwillenden.
Reageer
locke960 17 november 2025 16:41
Als tijdelijke maatregel adviseert Fortinet beheerders om HTTP‑ en Https‑toegang tot de beheerinterface via internet uit te schakelen.
Dat staat er niet. Fortinet adviseert al het HTTP en HTPS verkeer uit te schakelen. Punt. Met andere woorden, zet het apparaat maar uit:
Disable HTTP or HTTPS for internet facing interfaces. Fortinet recommends taking this action until an upgrade can be performed. If the HTTP/HTTPS Management interface is internally accessible only as per best practice, the risk is significantly reduced.
Fortinet raad dus expliciet niet aan alleen de beheersinterface uit te schakelen. Logisch, want in de volgende zin staat dat er dan nog steeds een risico is, met de betekenisloze kwalificatie "signficantly reduced." Mooie woorden om de verantwoordelijkheid voor de moeilijke keuze "uitzetten of ongespecificeerde risico's" lopen bij de klant neer te leggen. Altijd handig als je aangeklaagd wordt.
Reageer
phYzar 17 november 2025 16:13
Mijn hoofd maakte er Fortnite van, ik snapte al niks van het bericht, tijd voor koffie.
Reageer
qbig1970 17 november 2025 16:51
Ik dacht werkelijk waar dat er Fortnite moest staan...

Silly me.
Reageer
Rickardur 17 november 2025 20:34
Het kwaad is al geschied, ik zag een groot aantal klaar voor vernietiging liggen omdat ze een "zo lek als een vergiet" sticker hadden. Allemaal vervangen met een ander type firewall. Best wel vaak laatste tijd en steeds updates waar je dan maar op moet wachten
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq