-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in Fortinet FortiWeb
Advisory ID     : NCSC-2025-0366
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2025-64446
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Relative Path Traversal
Uitgiftedatum   : 20251115
Toepassing      : Fortinet FortiWeb
                  Fortinet Fortiweb
                  Fortinet Fortiweb (Application)
Versie(s)       :
Platform(s)     :

Beschrijving
   Fortinet heeft een kwetsbaarheid verholpen in FortiWeb.

   Fortinet heeft een kwetsbaarheid verholpen in FortiWeb. De
   kwetsbaarheid met het kenmerk CVE-2025-64446 betreft een relative
   path traversal-kwetsbaarheid en stelt een niet-geauthenticeerde
   aanvaller op afstand in staat om administratieve commando’s uit te
   voeren via speciaal vervaardigde HTTP-verzoeken.
   Het NCSC heeft informatie ontvangen dat de kwetsbaarheid al enige
   tijd actief wordt misbruikt. Tevens hebben onderzoekers Proof-of-
   Concept-code (PoC) gepubliceerd waarmee de kwetsbaarheid kan worden
   aangetoond. Het is daarom de verwachting dat het aantal pogingen tot
   misbruik verder zal toenemen.

Mogelijke oplossingen
   Fortinet heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
   Zie de bijgevoegde referenties voor meer informatie.
   Als het installeren van een update niet direct mogelijk is, adviseert
   Fortinet om HTTP en HTTPS uit te schakelen op internetgerichte
   interfaces. Fortinet raadt aan deze maatregel in stand te houden
   totdat de update kan worden uitgevoerd.
   Wanneer de beheerinterface conform best practices uitsluitend intern
   benaderbaar is, wordt het risico aanzienlijk verminderd.
   Controleer de FortiWeb-omgeving op indicatoren die door
   beveiligingsbedrijven zijn gedeeld. De kwetsbaarheid is namelijk al
   misbruikt voordat Fortinet de beveiligingsupdates uitbracht. Met name
   organisaties waarvan de beheerinterface via het internet toegankelijk
   is, lopen een verhoogd risico te zijn gecompromitteerd.
   Controleer de FortiWeb-omgeving op aanwezigheid van de volgende
   indicatoren van beveiligingsbedrijf Qualys. Aanwezigheid kan duiden
   op misbruik van de kwetsbaarheid.
   - Binnenkomende POST-verzoeken naar
   */api/v2.0/cmd/system/admin%3F/../../../../../cgi-bin/fwbcgi* of
   soortgelijke path-traversalpatronen afkomstig van niet-geautoriseerde
   IP-adressen.
   - Verzoeken met base64-encoded CGINFO-headers.
   - Onbekende beheerdersaccounts die sinds begin oktober 2025 zijn
   aangemaakt.
   - Nieuwe lokale gebruikersaccounts met het toegangsprofiel
   prof_admin.
   - Accounts met trust host-ranges ingesteld op *0.0.0.0/0* of *::/0*.

   Referenties:
      Reference
      https://blog.qualys.com/vulnerabilities-threat-
      research/2025/11/14/unauthenticated-authentication-bypass-in-
      fortinet-fortiweb-cve-2025-64446-exploited-in-the-wild

      Reference
      https://fortiguard.fortinet.com/psirt/FG-IR-25-910

      Reference
      https://github.com/watchtowrlabs/watchTowr-vs-Fortiweb-AuthBypass

      Reference
      https://www.cisa.gov/known-exploited-vulnerabilities-
      catalog?field_cve=CVE-2025-64446

      Reference
      https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-
      fortinet-fortiweb-exploited-in-the-wild

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----

iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmkYlOEACgkQytTOqyR+
cF9UiAv/aVY4eXb2nMpDM6N3jBPdLucg6DuhHF++G+WK824OK54hlPky7ZSrmsNU
p6oY8hkKuyhP5aGZyoZnENdqzqF0YmmAhMsqqpDRgunaYlGI/Ia4eVWA8BBMm2Kx
Zz11w7cCU+JaDRDw5pRHrgGijccXKoyxpCjVizSK+6ftKaaJhbpElMnqr0idbjvd
8CKsIeFr2QBoFC/UDzPQdFxdheJWe5gx6EbkLauYNzLJ/0Dnbcm01UDn25XcWdFA
unKCzQ7my31aKjocrWn2UVofj1Q0VpejLR1/ZLzVoAaUVMQaN3ME4teJ8CLsFncq
46bychZ/f+meHRWc3lSyFAeNIxFmCwhi0//3koBh22Kohu26CgqhpxetIZAmADf1
2lOXIsJV/T1Z2QL5Nf31Q3WOZ8bFVLfpO4UOukj+X5512TMioPdOgaBHn36ENOpy
xQxVgFBcOwbO3fzbJA1eWrK312UDRL9WAnQ6txIFS5PM6bZzzr1ijE6fVSil7jfb
T/tAZ9wt
=Fxb3
-----END PGP SIGNATURE-----