TI - Critical Vulnerability in Fortinet FortiWeb

Beschreibung:

Seit kurzem ist eine neue kritische Sicherheitslücke in der Web Application Firewall FortiWeb des Herstellers Fortigate bekannt. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer ohne bestehende Zugriffsrechte Administratorrechte für das FortiWeb Manager-Panel und die Websocket-Befehlszeilenschnittstelle erlangen.

Die neueste FortiWeb-Version 8.0.2 ist laut aktueller Recherche von der Schwachstelle nicht betroffen. Der Exploit funktioniert jedoch bei früheren Versionen, einschließlich Version 8.0.1, die im August 2025 veröffentlicht wurde.

Basierend auf den von Defused verbreiteten Informationen soll diese neue Schwachstelle im Oktober 2025 in freier Wildbahn ausgenutzt worden sein. Unternehmen, die Versionen von Fortinet FortiWeb vor 8.0.2 einsetzen, wird empfohlen, diese Schwachstelle dringend zu beheben, da sie seit Oktober in gezielten Angriffen ausgenutzt wird und in den kommenden Tagen mit einer breiten Ausnutzung zu rechnen ist. Da bis zum 14. November um 14:00 Uhr ET noch keine offiziellen Hinweise des Anbieters vorliegen, sollten Unternehmen auch nach der Aktualisierung auf die neueste Version 8.0.2 weiterhin den offiziellen Fortinet PSIRT-Feed auf offizielle Abhilfemaßnahmen überwachen (https://www.fortiguard.com/psirt).

Ohne Hinweise des Anbieters ist unklar, ob die Version 8.0.2 absichtlich einen stillen Patch für diese Sicherheitslücke enthält oder ob zufällig Änderungen vorgenommen wurden, die den bestehenden Exploit unwirksam gemacht haben.

Betroffene Systeme:

• FortiWeb < 8.02

Behobene Versionen:

• FortiWeb - 8.02

Empfohlene Maßnahmen:

Der Anbieter hat keine offiziellen Hinweise gegeben, und zum Zeitpunkt der ersten Veröffentlichung dieses Blogs wurde keine CVE zugewiesen. Test von Rapid7 haben ergeben, dass der öffentliche Proof-of-Concept-Exploit bei Version 8.0.2 fehlschlägt, bei Version 8.0.1 jedoch erfolgreich ist. Da keine offiziellen Hinweise vom Anbieter vorliegen, wird FortiWeb-Kunden empfohlen, entweder auf die neueste Version zu aktualisieren oder ihre FortiWeb-Verwaltungsschnittstelle aus dem öffentlichen Internet zu entfernen.

Einschätzung der Bedrohung:

Die Sicherheitslücke wurde durch Analyse von Daten aus einem Honeypot entdeckt, dies lässt auf eine aktive Ausnutzung der Schwachstelle schließen.

Aktuell bekannte IoCs(14.11.2025):

IP Adressen:
107.152.41.19
144.31.1.63
89.169.55.168
185.192.70.33
185.192.70.53
185.192.70.43
185.192.70.25
185.192.70.36
185.192.70.49
185.192.70.39
185.192.70.57
185.192.70.50
185.192.70.46
185.192.70.31
64.95.13.8

Usernamen und Passwörter:
Username - Password
Testpoint - AFodIUU3Sszp5
trader1 - 3eMIXX43
trader - 3eMIXX43
test1234point - AFT3$tH4ck
Testpoint - AFT3$tH4ck
Testpoint - AFT3$tH4ckmet0d4yaga!n

Weitere Hinweise:

https://www.pwndefend.com/2025/11/13/suspected-fortinet-zero-day-exploited-in-the-wild/

https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild/

https://www.fortiguard.com/psirt