Fortinet s’est enfin exprimé au sujet de la nouvelle vulnérabilité découverte dans FortiWeb, et elle a bien été corrigée discrètement par l’éditeur américain. Exploitée massivement, cette faille zero-day désormais associée à la référence CVE-2025-64446 représente une menace sérieuse. Faisons le point.
Ce nouvel article fait suite à cette première alerte :
Une faille zero-day exploitée depuis début octobre
Le bulletin de sécurité publié par Fortinet confirme que son pare-feu applicatif Web, FortiWeb, est affecté par une vulnérabilité déjà exploitée par les cybercriminels. “Fortinet a observé que cette faille était exploitée dans la nature.”, peut-on lire. De son côté, la société Defused avait été la première à repérer l’exploitation de cette vulnérabilité, dès le 6 octobre dernier.
En réaction, Fortinet a publié silencieusement le correctif fin octobre pour corriger cette faille de sécurité zero-day. Désormais associée à la référence CVE-2025-64446, cette vulnérabilité de type path traversal permet à des attaquants non authentifiés de créer des comptes administrateurs sur les instances FortiWeb.
Fortinet précise que cette vulnérabilité pourrait permettre à “un attaquant non authentifié d’exécuter des commandes administratives sur le système via des requêtes HTTP ou HTTPS spécialement conçues.” – Ce qui ouvre la porte à une prise de contrôle totale.
Comment se protéger ?
Comme l’avait expliqué la société Rapid7, cette vulnérabilité a été corrigée dans FortiWeb 8.0.2. Le bulletin de sécurité de Fortinet apporte des précisions sur l’ensemble des versions affectées et les correctifs associés.
Voici un récapitulatif :
VersionVersions affectéesPatchFortiWeb 8.08.0.0 à 8.0.18.0.2 ou supérieurFortiWeb 7.67.6.0 à 7.6.47.6.5 ou supérieurFortiWeb 7.47.4.0 à 7.4.97.4.10 ou supérieurFortiWeb 7.27.2.0 à 7.2.117.2.12 ou supérieurFortiWeb 7.07.0.0 à 7.0.117.0.12 ou supérieur
Il est recommandé d’appliquer le correctif de sécurité dès que possible.
Pour ceux qui ne peuvent pas appliquer la mise à jour dans l’immédiat, il est recommandé de :
désactiver l’accès HTTP/HTTPS aux interfaces de gestion exposées sur Internet,
restreindre l’accès aux seules adresses IP de confiance,
surveiller les journaux pour repérer la création de nouveaux comptes administrateurs non autorisés,
contrôler la configuration à la recherche de modifications suspectes.
Si l’interface de gestion du FortiWeb n’est pas exposée sur Internet, les risques sont limités, à moins que la menace vienne de l’intérieur.
En complément, il est intéressant de noter que l’agence américaine CISA a déjà ajouté cette vulnérabilité à son catalogue des failles activement exploitées. Les agences fédérales américaines doivent impérativement appliquer les correctifs d’ici le 21 novembre.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.