🚨 Sécurité : une faille critique dans Fortinet FortiWeb activement exploitée | Centre Cyber du Pacifique

Une vulnérabilité très dangereuse affecte les appliances Fortinet FortiWeb, permettant à un attaquant non authentifié de créer des comptes administrateurs à distance. Cette faille, référencée CVE-2025-64446, est déjà exploitée dans des attaques réelles.

💥Une attaque puissante et sophistiquée

La vulnérabilité repose sur un path traversal relatif au sein de l’interface CGI d’administration.
Des requêtes spécialement construites permettent d’exécuter des commandes privilégiées sans authentification.
Des comptes administrateurs non légitimes ont été observés, comme « Testpoint » ou « trader1 ».

Une preuve de concept (PoC) est disponible publiquement et des exploitations sont rapportées depuis début novembre.

🛡️Produits concernés et correctifs

Selon les bulletins officiels et alertes de cybersécurité :

Version vulnérables	Versions corrigés
FortiWeb 8.0.0 à 8.0.1	8.0.2+
FortiWeb 7.6.0 à 7.6.4	7.6.5+
FortiWeb 7.4.0 à 7.4.9	7.4.10+
FortiWeb 7.2.0 à 7.2.11	7.2.12+
FortiWeb 7.0.0 à 7.0.11	7.0.12+

⚙️Recommandations

Mettre à jour immédiatement vos appliances vers les versions corrigées.
Isoler l’accès à l’interface de gestion (VPN, bastion, règles réseau).
Vérifier les comptes administrateurs et supprimer tout compte suspect.
Analyser les journaux à la recherche d’actions non autorisées.
Bloquer temporairement les payloads ou chemins suspects exploitant « ../ » tant que la mise à jour n’est pas appliquée.

⚠️Pourquoi cette faille est critique

La compromission d’un WAF comme FortiWeb ouvre la voie à l’accès privilégié à des services critiques.
L’exploitation est non authentifiée, ce qui augmente fortement la surface d’attaque.

Le CVE-2025-64446 a été ajouté au catalogue CISA KEV, preuve de son exploitation active.

📚Sources

< Retour à l'accueil