Fortinet ligt opnieuw onder vuur na de ontdekking van een tweede zeroday-lek in FortiWeb binnen een week. Het beveiligingsbedrijf bracht een update uit om het probleem te verhelpen.
The Register berichtte al over het lek. De kwetsbaarheid, geregistreerd als CVE-2025-58034, maakt het mogelijk voor ingelogde aanvallers om via gemanipuleerde HTTP-verzoeken of CLI-commando’s eigen code uit te voeren op het apparaat. Een upgrade naar de meest recente FortiWeb-versie is noodzakelijk om het risico weg te nemen.
Volgens Fortinet wordt de fout actief misbruikt. Onderzoekers van Trend Micro melden dat zij inmiddels duizenden pogingen hebben waargenomen waarbij aanvallers de kwetsbaarheid benutten. De Amerikaanse cyberwaakhond CISA voegde het lek toe aan de lijst met bekende, actief misbruikte kwetsbaarheden. Overheidsinstanties krijgen een week de tijd om hun systemen te patchen. Dat is korter dan de gebruikelijke termijnen voor ernstige beveiligingsproblemen.
FortiWeb-lekken versterken elkaar
Fortinet deelde geen verdere details over wie achter de aanvallen zit. Het bedrijf meldt niet hoe wijdverbreid het misbruik precies is. Wel speelt op de achtergrond de vraag of deze nieuwe fout verband houdt met een ander lek in FortiWeb. Die eerdere kwetsbaarheid, CVE-2025-64446, maakt het mogelijk om de authenticatie te omzeilen en opdrachten op het systeem uit te voeren zonder inloggegevens. Ook dat probleem werd al gebruikt door aanvallers voordat er een patch beschikbaar was.
Beveiligingsonderzoekers zien sterke aanwijzingen dat beide fouten in combinatie gebruikt kunnen worden. Een bypass voor de loginprocedure kan immers de deur openen naar een lek dat juist misbruik vereist van een geauthentiseerde sessie. Trend Micro geeft aan dat het nieuwste lek aan het licht kwam tijdens het nalopen van eerdere zwakke plekken in hetzelfde product en dat onbevoegde toegang tot systeemcommando’s via de interface een reëel gevaar vormt voor organisaties die nog niet hebben bijgewerkt.
Rapid7 merkt in een technische analyse op dat de korte tijd tussen de disclosures, het eerdere stilzwijgend patchen door de leverancier en de functionaliteit van beide fouten wijzen op een mogelijke exploitketen die leidt tot volledige remote code execution zonder enige vorm van authenticatie. Voor organisaties die FortiWeb gebruiken, betekent dit dat het installeren van de beschikbare updates urgent is om misbruik te voorkomen.