Fortinet rapporteert op enkele dagen tijd twee kritieke kwetsbaarheden in FortiWeb. Volgens Fortinet bestaat er geen onderling verband.
Fortinet heeft dubbel prijs met kwetsbaarheden in FortiWeb, een firewall-oplossing voor webapplicaties en api’s. Dinsdag rapporteerde Fortinet over kwetsbaarheid CVE-2025-58034, CWE-78 in de eigen classificatie van het bedrijf. Met deze kwetsbaarheid kunnen aanvallers ongeautoriseerde code uitvoeren met behulp van speciale HTTP-verzoeken of CLI-opdrachten. Fortinet heeft concurrent Trend Micro te danken voor de ontdekking.
De melding van dinsdag volgt amper enkele dagen op de melding van een andere kwetsbaarheid, CVE-2025-64446 of CWE-23. Deze stelt niet-geverifieerde aanvallers in staat om beheerdersopdrachten uit te voeren en kwetsbare apparaten over te nemen. Hoewel de kwetsbaarheid al een maand gekend was, gaf Fortinet vrijdag pas toe dat aanvallers er actief gebruik van maken.
Dat maakt twee actief uitgebuite kwetsbaarheden in dezelfde Fortinet-applicatie. De oplossing is echter dezelfde: upgraden naar de nieuwste, ondersteunde versies van FortiWeb. Deze versies dichten de kwetsbaarheden:
- FortiWeb 8.0.2
- FortiWeb 7.6.6
- FortiWeb 7.4.11
- FortiWeb 7.2.12
- FortiWeb 7.0.12
Geen verband, of toch wel?
Het lijkt geen toeval dat op korte tijd twee kwetsbaarheden in eenzelfde toepassing opduiken. Toch zegt Fortinet dat er geen verband bestaat. Dat trekken experten van andere beveiligingsleveranciers in twijfel, omdat de eerste kwetsbaarheid het uitbuiten van de tweede wel lijkt te helpen.
“Ons onderzoek heeft een kwetsbaarheid in FortiWeb ontdekt tijdens het onderzoeken van een ouder probleem in hetzelfde product. We hebben vastgesteld dat geauthenticeerde gebruikers systeemopdrachten konden uitvoeren via de webinterface, waardoor klanten het risico lopen dat aanvallers de controle over het apparaat overnemen en dieper in het netwerk doordringen als er geen patches worden toegepast”, zegt ontdekker Trend Micro aan The Register.
Rapid7 lijkt in zijn analyse ook niet in het toeval te geloven. “Beide kwetsbaarheden zijn door Fortinet gelijktijdig gepatcht zonder eerdere bekendmaking. Het is nuttig om een authenticatie-bypass te koppelen aan een geauthenticeerde commando-injectie. Dit maakt het zeer waarschijnlijk dat deze twee kwetsbaarheden een exploit-keten vormen voor niet-geauthenticeerde uitvoering van externe code op kwetsbare FortiWeb-apparaten”.