Vulnérabilités et Alertes

Analyse de la vulnérabilité Fortinet – CVE-2025-64446

by  • 

Résumé Exécutif

Une vulnérabilité critique, identifiée comme CVE-2025-64446, a été découverte dans les appliances Fortinet FortiWeb. Cette faille, activement exploitée, combine une traversée de chemin (Path Traversal) et un contournement d’authentification, permettant à un attaquant non authentifié d’exécuter des commandes administratives. L’exploitation a été observée dans le but de créer des comptes administrateurs non autorisés, menant à une compromission totale du système. Fortinet a publié des correctifs et l’agence américaine CISA a ajouté ce CVE à son catalogue des vulnérabilités activement exploitées (KEV), exigeant une mise à jour urgente.

Analyse Technique de la Vulnérabilité FortiWeb CVE-2025-64446

Le 14 novembre 2025, Fortinet a publié un avis de sécurité (PSIRT) concernant une vulnérabilité critique affectant son pare-feu applicatif web (WAF) FortiWeb. Référencée sous l’identifiant CVE-2025-64446, cette faille présente un score CVSS 3.1 de 9.8 (Critique) et est confirmée comme étant activement exploitée « in the wild ».

Description de la Vulnérabilité

La vulnérabilité résulte d’une combinaison de deux défauts de sécurité distincts :

  1. Traversée de Chemin (Path Traversal): Une faiblesse dans la validation des entrées de l’interface de gestion permet à un attaquant de manipuler le chemin d’une requête API.
  2. Contournement d’Authentification: Un second défaut permet à l’attaquant de « joindre » un en-tête HTTP spécifique (CGIINFO) à sa requête, lui permettant d’usurper l’identité d’un utilisateur existant, y compris le compte administrateur par défaut.

En enchaînant ces deux failles, un attaquant distant et non authentifié peut envoyer une requête HTTP POST spécifiquement forgée. L’exploitation cible l’exécutable fwbcgi en utilisant un chemin d’API manipulé, tel que :

/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi

L’en-tête CGIINFO malveillant contient une structure JSON qui force le système à traiter la requête comme si elle provenait de l’administrateur « super_admin » local.

Impact et Exploitation

L’impact de cette vulnérabilité est maximal : une compromission totale du système. Des chercheurs en sécurité et Fortinet ont confirmé que des acteurs malveillants exploitent activement cette faille pour créer de nouveaux comptes administrateurs sur les appliances FortiWeb exposées.

Une fois l’accès administratif obtenu, l’attaquant dispose d’un contrôle total sur le WAF, lui permettant de :

  • Désactiver les règles de sécurité.
  • Intercepter, lire ou modifier le trafic web destiné aux applications protégées.
  • Utiliser l’appliance comme un pivot pour pénétrer plus profondément dans le réseau interne.

La CISA a ajouté CVE-2025-64446 à son catalogue KEV (Known Exploited Vulnerabilities), contraignant les agences fédérales américaines à appliquer le correctif avant le 21 novembre 2025, soulignant l’urgence de la situation.

Produits Affectés

Les versions suivantes de FortiWeb sont confirmées comme étant vulnérables :

  • FortiWeb versions 8.0.0 à 8.0.1
  • FortiWeb versions 7.6.0 à 7.6.4
  • FortiWeb versions 7.4.0 à 7.4.9
  • FortiWeb versions 7.2.0 à 7.2.11
  • FortiWeb versions 7.0.0 à 7.0.11

Actions de Remédiation et d’Atténuation

Il est impératif d’appliquer les mises à jour de sécurité fournies par Fortinet dès que possible.

Remédiation (Correctifs) : Les versions suivantes corrigent la vulnérabilité :

  • FortiWeb version 8.0.2 ou supérieure
  • FortiWeb version 7.6.5 ou supérieure
  • FortiWeb version 7.4.10 ou supérieure
  • FortiWeb version 7.2.12 ou supérieure
  • FortiWeb version 7.0.12 ou supérieure

Atténuation (Workaround) : Si l’application immédiate du correctif est impossible, la seule mesure d’atténuation efficace est de désactiver l’accès aux interfaces de gestion (HTTP/HTTPS) de FortiWeb depuis Internet ou tout réseau non-fiable. L’accès à l’administration ne devrait être possible que depuis un réseau interne sécurisé ou via un VPN.

Il est également recommandé d’inspecter les journaux (logs) et la configuration des comptes utilisateurs pour détecter toute création de compte administrateur suspecte ou inconnue.

Enjoy !

Source:
CISA Alert: https://www.cisa.gov/news-events/alerts/2025/11/14/fortinet-releases-security-advisory-relative-path-traversal-vulnerability-affecting-fortiweb
Fortinet PSIRT Advisory: https://fortiguard.fortinet.com/psirt/FG-IR-25-910
NVD Entry: https://nvd.nist.gov/vuln/detail/CVE-2025-64446