Cybersecurity-onderzoekers waarschuwen voor een kwetsbaarheid voor het omzeilen van authenticatie in Fortinet Fortiweb WAF, waardoor een aanvaller beheerdersaccounts kan overnemen en een apparaat volledig kan compromitteren.
“Het watchTowr-team ziet actieve, willekeurige exploitatie in het wild van wat een stilletjes gepatchte kwetsbaarheid lijkt in Fortinet’s FortiWeb-product”, zegt Benjamin Harris, CEO en oprichter van watchTowr, in een verklaring.
“De kwetsbaarheid is gepatcht in versie 8.0.2 en stelt aanvallers in staat acties uit te voeren als een bevoorrechte gebruiker – waarbij in-the-wild exploitatie zich richt op het toevoegen van een nieuw beheerdersaccount als een basispersistentiemechanisme voor de aanvallers.”
Het cyberbeveiligingsbedrijf zei dat het de kwetsbaarheid met succes kon reproduceren en een werkend proof-of-concept (Poc) kon creëren. Het heeft ook een tool voor het genereren van artefacten uitgebracht voor de authenticatie-bypass om gevoelige apparaten te helpen identificeren.
Volgens details gedeeld door Defused en beveiligingsonderzoeker Daniel Card van PwnDefend, is ontdekt dat de bedreigingsactor achter de exploitatie een payload naar de “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” stuurt door middel van een HTTP POST-verzoek om een beheerdersaccount aan te maken.
Enkele van de beheerdersgebruikersnamen en -wachtwoorden die zijn gemaakt door de payloads die in het wild zijn gedetecteerd, staan hieronder:
- Testpunt / AFodIUU3Sszp5
- handelaar1 / 3eMIXX43
- handelaar / 3eMIXX43
- test1234point / AFT3$tH4ck
- Testpunt / AFT3$tH4ck
- Testpunt / AFT3$tH4ckmet0d4yaga!n
De oorsprong en identiteit van de dreigingsactoren achter de aanvallen blijven onbekend. De exploitatieactiviteit was voor het eerst ontdekt begin vorige maand. Op het moment van schrijven heeft Fortinet geen CVE-identifier toegewezen en geen advies gepubliceerd over zijn PSIRT-feed.
The Hacker News heeft contact opgenomen met Fortinet voor commentaar en we zullen het verhaal bijwerken als we iets horen.
Rapid7, dat er bij organisaties op aandringt dat versies van Fortinet FortiWeb draaien die ouder zijn dan 8.0.2, om de kwetsbaarheid in noodgevallen aan te pakken, zei dat het op 6 november 2025 een vermeende zero-day exploit gericht op FortiWeb te koop had gezien op een populair black hat-forum. Het is momenteel niet duidelijk of het om dezelfde exploit gaat.
“Terwijl we wachten op een reactie van Fortinet, worden gebruikers en bedrijven nu geconfronteerd met een bekend proces: zoek naar triviale tekenen van eerder compromis, neem contact op met Fortinet voor meer informatie en pas patches toe als je dat nog niet hebt gedaan”, zei Harris. “Dat gezegd hebbende, gezien de willekeurige uitbuiting die is waargenomen (…), zijn apparaten die niet zijn gepatcht waarschijnlijk al gecompromitteerd.”
