Fortinet confirme avoir patché une faille zero-day dans FortiWeb : CVE-2025-64446
Fortinet s'est enfin exprimé au sujet de la nouvelle vulnérabilité découverte dans FortiWeb, et elle a bien été corrigée discrètement par l'éditeur américain. Exploitée massivement, cette faille zero-day désormais associée à la référence CVE-2025-64446 représente une menace sérieuse. Faisons le point.
Ce nouvel article fait suite à cette première alerte :
- Fortinet FortiWeb : des pirates créent des comptes admins avec cette faille dont un exploit est disponible !
Une faille zero-day exploitée depuis début octobre
Le bulletin de sécurité publié par Fortinet confirme que son pare-feu applicatif Web, FortiWeb, est affecté par une vulnérabilité déjà exploitée par les cybercriminels. "Fortinet a observé que cette faille était exploitée dans la nature.", peut-on lire. De son côté, la société Defused avait été la première à repérer l'exploitation de cette vulnérabilité, dès le 6 octobre dernier.
En réaction, Fortinet a publié silencieusement le correctif fin octobre pour corriger cette faille de sécurité zero-day. Désormais associée à la référence CVE-2025-64446, cette vulnérabilité de type path traversal permet à des attaquants non authentifiés de créer des comptes administrateurs sur les instances FortiWeb.
Fortinet précise que cette vulnérabilité pourrait permettre à "un attaquant non authentifié d'exécuter des commandes administratives sur le système via des requêtes HTTP ou HTTPS spécialement conçues." - Ce qui ouvre la porte à une prise de contrôle totale.
Comment se protéger ?
Comme l'avait expliqué la société Rapid7, cette vulnérabilité a été corrigée dans FortiWeb 8.0.2. Le bulletin de sécurité de Fortinet apporte des précisions sur l'ensemble des versions affectées et les correctifs associés.
Voici un récapitulatif :
|Version
|Versions affectées
|Patch
|FortiWeb 8.0
|8.0.0 à 8.0.1
|8.0.2 ou supérieur
|FortiWeb 7.6
|7.6.0 à 7.6.4
|7.6.5 ou supérieur
|FortiWeb 7.4
|7.4.0 à 7.4.9
|7.4.10 ou supérieur
|FortiWeb 7.2
|7.2.0 à 7.2.11
|7.2.12 ou supérieur
|FortiWeb 7.0
|7.0.0 à 7.0.11
|7.0.12 ou supérieur
Il est recommandé d'appliquer le correctif de sécurité dès que possible.
Pour ceux qui ne peuvent pas appliquer la mise à jour dans l'immédiat, il est recommandé de :
- désactiver l’accès HTTP/HTTPS aux interfaces de gestion exposées sur Internet,
- restreindre l’accès aux seules adresses IP de confiance,
- surveiller les journaux pour repérer la création de nouveaux comptes administrateurs non autorisés,
- contrôler la configuration à la recherche de modifications suspectes.
Si l'interface de gestion du FortiWeb n'est pas exposée sur Internet, les risques sont limités, à moins que la menace vienne de l'intérieur.
En complément, il est intéressant de noter que l'agence américaine CISA a déjà ajouté cette vulnérabilité à son catalogue des failles activement exploitées. Les agences fédérales américaines doivent impérativement appliquer les correctifs d’ici le 21 novembre.