Desaster: Fortinet FortiWeb Schwachstelle (CVE-2025-64446)

Administratoren von Fortinet FortiWeb-Instanzen müssen sich womöglich auf Ärger einstellen. Fortinet hat stillschweigend zum 28. Oktober 2025 eine schwerwiegende Schwachstelle CVE-2025-64446 in seinem FortiWeb gepatcht. Es geht aber seit ca. einem Monat das Gerücht um, dass man über eine Schwachstelle Administrator-Rechte erlangen kann. Die Schwachstelle könnte seit dem 6. Oktober 2025 ausgenutzt worden sein.

Ein Gerüchte zu einer Schwachstelle

Es gibt seit Wochen das Gerücht, dass es eine Schwachstelle in Fortinet FortiGate geben könnte. Mir ist vor einigen Tagen der untere Teil des nachfolgenden Tweets von Florian Roth untergekommen, den ich aber nicht thematisiert habe.

In diesem Tweet vom 6. Oktober 2025 schreibt @DefusedCyber, dass ein unbekannter Fortinet-Exploit (möglicherweise eine Variante von CVE-2022-40684) von 64.95.13.8 angewandt wird. Auf Virustotal erkannte keines der Virenschutzprogramme diesen Exploit. Am 14. November 2025 verwies dann ein weitere X-Nutzer in seiner Antwort darauf, dass Fortinet wohl einen Sicherheitshinweis (siehe nachfolgenden Abschnitt) samt Patch veröffentlicht habe. 

Ein Patch für CVE-2025-64446

Die Kollegen von Bleeping Computer haben zum 14. November 2025 in diesem Beitrag bestätigt, dass Fortinet "stillschweigend" eine Schwachstelle in FortiWeb gepatcht habe. Laut Artikel wurde der Patch am 28. Oktober 2025 veröffentlicht – also lange nach obigem Tweet vom 6. Oktober 2025.

Das Unternehmen Fortinet hat dann erst am 14. November 2025 den Sicherheitshinweise FG-IR-25-910 veröffentlicht und schreibt, dass man eine kritische Schwachstelle mit dem CSSV 3-Score von 9.1 in FortiWeb gepatcht habe.

Eine Relative Path Traversal-Schwachstelle CVE-2025-64446 in FortiWeb kann es einem nicht authentifizierten Angreifer ermöglichen, über manipulierte HTTP- oder HTTPS-Anfragen administrative Befehle auf dem System auszuführen.

Betroffen sind Fortinet FortiWeb 8.0.0 bis 8.0.1, FortiWeb 7.6.0 bis 7.6.4, FortiWeb 7.4.0 bis 7.4.9, FortiWeb 7.2.0 bis 7.2.11, FortiWeb 7.0.0 bis 7.0.11. Fortinet hat Updates, z.B. ein Update auf 8.0.2 für FortiWeb 8.0 und 8.0.1 zum Schließen der Schwachstelle bereitgestellt. Das Unternehmen schreibt, dass man beobachtet hat, dass diese Schwachstelle in der Praxis ausgenutzt wird.

Mir ist obiger Tweet untergekommen, der besagt, dass die kritische Sicherheitslücke in Fortinets FortiWeb Web Application Firewall (WAF) derzeit aktiv ausgenutzt werde. Die Schwachstelle CVE-2025-64446 ermöglicht einen unauthentifizierten Zugriff. Angreifer können ohne vorherige Autorisierung Administratorkonten erstellen und vollständige administrative Kontrolle über das Web-Management-Panel und die WebSocket-CLI erlangen.

Censys hat zum 14. November 2025 eine Beschreibung der Schwachstelle veröffentlicht. Inzwischen ist "die Hütte bildlich gesprochen, am brennen", denn die Schwachstelle wird längst angegriffen. Die US-Cybersicherheitsbehörde CISA hat hier die Schwachstelle in die Liste der ausgenutzten Sicherheitslücken aufgenommen.

Ungepatchte FortiWeb WAFs werden wohl massiv angegriffen, und Administratoren müssten prüfen, ob die Angreifer nicht bereits im System sind. Von Fortinet wird empfohlen, dass Kunden ihre Konfiguration überprüfen und die Protokolle auf unerwartete Änderungen oder das Hinzufügen nicht autorisierter Administratorkonten überprüfen.

Als Workaround empfiehlt Fortinet HTTP oder HTTPS für Schnittstellen mit Internetverbindung im Produkt zu deaktivieren, bis die bereitgestellten Updates installiert wurden. Sicherheitsforscher von Artic Wolf beschreiben im Artikel Console Chaos: A Campaign Targeting Publicly Exposed Management Interfaces on Fortinet FortiGate Firewalls dass bereits eine massive Angriffskampagne auf die Fortinet FortiGate Firewalls läuft. Ergänzung: heise hat hier einige Informationen zusammen getragen.