CVE-2025-64446
Mis à jour :
Exploitation de Fortiweb : Contournement d’Authentification et Escalade de Privilèges
Une faille de sécurité critique, identifiée sous le code CVE-2025-64446, a été confirmée par Fortinet. Cette vulnérabilité permet à des attaquants de contourner les mécanismes d’authentification et d’obtenir des privilèges d’administrateur sur les appareils Fortiweb exposés sur Internet.
Points Clés :
- La faille a été initialement suspectée d’être une variante d’une vulnérabilité précédente (CVE-2022-40684), mais a été confirmée comme nouvelle par Fortinet.
- Elle exploite une combinaison d’une traversée de répertoire (path traversal) via l’endpoint
/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgiet un contournement d’authentification utilisant le cookieCGIINFO. - Des indicateurs de compromission (IOC) ont été collectés par la communauté de la cybersécurité.
- La vulnérabilité a été activement exploitée dans la nature pour créer de nouveaux comptes d’administrateur.
Vulnérabilité :
- CVE-2025-64446 : Permet un contournement d’authentification et une élévation de privilèges en combinant une traversée de répertoire et l’exploitation du cookie
CGIINFO.
Recommandations :
- Toutes les instances de Fortiweb dont l’interface graphique web (GUI) est exposée à Internet doivent être considérées comme potentiellement compromises.
- Il est crucial de surveiller les journaux pour détecter toute activité suspecte et d’appliquer les correctifs dès qu’ils sont disponibles, bien que les informations sur le patching soient actuellement limitées.