CVE-2025-64446: Eine lauernde FortiWeb-Schwachstelle erweist sich als kritisch bei aktiver Ausnutzung
Diskussionen über ein neues Sicherheitsproblem, das Fortinets FortiWeb betrifft, begannen Anfang Oktober 2025 online zu zirkulieren, nachdem das Cyber-Deception-Unternehmen Defused berichtete, über einen Honeypot einen funktionierenden Exploit erfasst zu haben. FortiWeb ist Fortinets Web-Application-Firewall-(WAF)-Plattform, die dazu entwickelt wurde, Webanwendungen vor bösartiger Aktivität zu schützen. Über einen Monat lang blieb Defuseds Enthüllung weitgehend unbeachtet – keine CVE-Zuweisung, keine Anerkennung durch Fortinet. Sicherheitsforscher bemerkten kürzlich, dass Fortinet die Schwachstelle offenbar stillschweigend gepatcht hat, ohne die Nutzer im Voraus zu informieren.
Das Thema erreichte schließlich am 13. November die breite Öffentlichkeit, als WatchTowr Labs einen vollständigen Proof-of-Concept-(PoC)-Exploit veröffentlichte. Einen Tag später erhielt die Schwachstelle eine offizielle Kennung: CVE-2025-64446 (CVSS 9.8) wird nun offiziell als aktiv ausgenutzte Schwachstelle mit kritischer Schwere in Fortinets FortiWeb eingestuft. Die Schwachstelle ermöglicht es Angreifern, manipulierte Administratoren-Konten anzulegen und administrative Aktionen auszuführen.
Fortinet stuft CVE-2025-64446 offiziell als Relative-Path-Traversal-Schwachstelle [CWE-23] ein. Allerdings sollte sie auch als Authentication-Bypass-Using-an-Alternate-Path-Schwachstelle [CWE-288] betrachtet werden, da eine Manipulation der URL es Angreifern ermöglicht, auf einen Legacy-Common-Gateway-Interface-(CGI)-Prozessor zuzugreifen, der keine ordnungsgemäße Authentifizierung implementiert. Nutzer sollten Fortinets offizielle Sicherheitsmeldung beachten, umgehend eine Risikobewertung durchführen und eine Notfall-Mitigierung dieser Schwachstelle in Betracht ziehen.
Eine kostenlose Testversion von Greenbones OPENVAS BASIC steht IT-Verantwortlichen zur Verfügung, um ihre IT-Unternehmensinfrastruktur nach aufkommenden Bedrohungen wie CVE-2025-64446 in Fortinets FortiWeb-Appliances zu scannen.
Wie der Exploit gegen CVE-2025-64446 funktioniert
Die Exploit-Kette für CVE-2025-64446 kombiniert zwei grundlegende Designfehler in FortiWeb:
- Eine Relative-Path-Traversal-Schwachstelle [CWE-23] ermöglicht ungeschütztes URL-Routing zwischen der REST-API der Managementschnittstelle und ihrem CGI-Prozessor. Dieses fehlerhafte Routing dient als alternativer Pfad, um die Authentifizierung zu umgehen.
- Eine Authentication-Bypass-Using-an-Alternate-Path-Schwachstelle [CWE-288] im CGI-Prozessor führt keine ordnungsgemäße Authentifizierung der Daten durch, die über den CGIINFO-HTTP-Header eines sich verbindenden Clients bereitgestellt werden.
WatchTowrs Python-basierter PoC zeigt, wie Angreifer FortiWebs vorgesehene API umgehen können, um den Legacy-CGI-Prozessor zu missbrauchen und unautorisierte Administratorkonten auf dem Gerät zu erstellen. So funktioniert der Exploit:
- Angreifer können über HTTPS (Port 443) mit dem FortiWeb-Management-Port kommunizieren, wobei die Zertifikatsvalidierung deaktiviert wird, um Probleme mit selbstsignierten, veralteten oder anderweitig ungültigen Zertifikaten zu vermeiden.
- Ungepatchte FortiWeb-Appliances bereinigen die URI vor der Anwendung von Autorisierungsregeln nicht ordnungsgemäß. Nicht authentifizierte Benutzer können Path Traversal erreichen, indem sie ihre Anforderungs-URL mit https://api/v2.0/… beginnen und gleichzeitig über ../../../../../ zu cgi-bin/fwbcgi traversieren.
- Eine Analyse des Quellcodes ergab, dass FortiWebs Legacy-CGI-Backend eine Funktion namens cgi_auth() enthält, die jeglichen im CGIINFO-Header bereitgestellten Autorisierungsangaben blind vertraut, sofern der Benutzername einem bestehenden Benutzer entspricht – einschließlich des integrierten Admin-Benutzers. Das bedeutet, dass ein nicht authentifizierter Angreifer den Admin-Benutzer spoofen kann, um erhöhte Berechtigungen zu erlangen.
- FortiWebs CGI-Prozessor verarbeitet den restlichen Request-Body anschließend mit vollständigen Administratorrechten.
- Der Angreifer kann ein bösartiges JSON-Objekt übermitteln, das das System anweist, ein neues Administratorkonto mit einem beliebigen, vom Angreifer kontrollierten Benutzernamen und Passwort anzulegen, um die vollständige Kontrolle über das Gerät zu übernehmen.
Wie die aufkommende Fortinet-Schwachstelle zu mitigieren ist
FortiWeb-Nutzer sollten Fortinets Sicherheitsmeldung prüfen, umgehend eine Risikobewertung durchführen und eine Notfall-Mitigierung für diese Schwachstelle in Betracht ziehen. Der Hersteller empfiehlt außerdem offiziell, HTTP und HTTPS für internetseitig erreichbare Schnittstellen zu deaktivieren, bis ein Upgrade durchgeführt werden kann. Ist eine FortiWeb-HTTP/HTTPS-Managementschnittstelle ausschließlich von internen Netzwerkendpunkten aus zugänglich, ist das Risiko reduziert.
Organisationen, die ungepatchte Versionen von FortiWeb einsetzen, sollten dieses Problem als kritisch und vorrangig behandeln. Die folgenden Versionen von FortiWeb sind betroffen:
- FortiWeb 8.0.0 bis 8.0.1
- FortiWeb 7.6.0 bis 7.6.4
- FortiWeb 7.4.0 bis 7.4.9
- FortiWeb 7.2.0 bis 7.2.11
- FortiWeb 7.0.0 bis 7.0.11
Greenbones OPENVAS ENTERPRISE FEED hat Sie abgedeckt
Das Entwicklungsteam für Schwachstellenprüfungen bei Greenbone analysierte diese neu aufkommende FortiWeb-Schwachstelle bereits, bevor sie als CVE veröffentlicht wurde. Eine Versionsprüfung [1] und eine aktive Prüfung [2] sind jetzt im OPENVAS ENTERPRISE FEED verfügbar. Diese Erkennungstests umfassen sowohl versionsbasierte Checks als auch aktive Checks, die über HTTP mit Appliances interagieren, um die Verwundbarkeit gegenüber der Schwachstelle festzustellen. Dieser zweischichtige Ansatz stellt sicher, dass Organisationen verwundbare FortiWeb-Instanzen zuverlässig identifizieren können.
Wenn neue Details bekannt werden, verfeinert und erweitert Greenbone die Abdeckung weiter, um sicherzustellen, dass Kunden betroffene Instanzen identifizieren können. Eine kostenlose Testversion von Greenbones OPENVAS BASIC steht IT-Verantwortlichen zur Verfügung, um ihre IT-Unternehmensinfrastruktur nach aufkommenden Bedrohungen wie CVE-2025-64446 in Fortinets FortiWeb-Appliances zu scannen.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.
