Fortinet hat vor einer breit angelegten Ausnutzung der kritischen Schwachstelle CVE‑2025‑64446 im Web Application Firewall‑Produkt FortiWeb gewarnt. Der Fehler ermöglicht unauthentifizierten Angreifern, administrative Aktionen über speziell konstruierte HTTP(S)‑Anfragen auszuführen. Ein Fix steht seit FortiWeb 8.0.2 bereit; die US‑Behörde CISA hat die Lücke in den Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen und eine beschleunigte Behebung angeordnet.
Zeitleiste: Entdeckung, Patch und Bestätigung der Angriffe
Laut Threat‑Intelligence‑Berichten der Gruppe Defused begannen die ersten bestätigten Angriffe am 6. Oktober 2025. Der Angriffsfluss wurde zunächst als Path Traversal bewertet, führte aber effektiv zur Anlage lokaler Administrator‑Accounts auf FortiWeb‑Systemen.
Fortinet veröffentlichte am 28. Oktober 2025 die Version 8.0.2 mit einem stillen Fix, ohne zu diesem Zeitpunkt technische Details offenzulegen. In der Folge demonstrierten watchTowr Labs einen funktionierenden Exploit und stellten ein Artefakt‑Prüfwerkzeug zur Erkennung von Kompromittierungsmerkmalen bereit.
Am 14. November 2025 bestätigte Fortinet die Schwachstelle als Path‑Confusion im GUI‑Komponentenstack von FortiWeb und erklärte: „Fortinet beobachtet die aktive Ausnutzung dieser Schwachstelle in echten Angriffen.“ Sicherheitsforscher von Rapid7 verifizierten, dass FortiWeb 8.0.1 und älter betroffen sind und veröffentlichte Exploits nach dem Update auf 8.0.2 wirkungslos werden.
Technische Einordnung: Path Confusion führt zum Authentication Bypass
Path Confusion beschreibt Fehler bei der Normalisierung und Weiterleitung von URL‑Pfaden, durch die interne Routen fälschlich aufgerufen werden. In FortiWeb resultiert dies in einem Authentication Bypass: Speziell strukturierte HTTP‑Requests werden vom System als legitime, privilegierte Verwaltungsoperationen behandelt – ohne gültige Anmeldedaten.
Warum WAF‑Systeme am Perimeter besonders exponiert sind
FortiWeb schützt Webanwendungen am Netzperimeter und ist häufig direkt aus dem Internet erreichbar. Die Möglichkeit, Admin‑Konten anzulegen oder Richtlinien ohne Authentifizierung zu verändern, eröffnet Angreifern weitreichende Optionen: Manipulation von Sicherheitsprofilen, Einschleusen persistenter Backdoors, Datenexfiltration und anschließende laterale Bewegung. Die Verfügbarkeit von Proof‑of‑Concepts verstärkt das Risiko und verkürzt Verteidigungsfenster.
Betroffene Versionen, Fix und empfohlene Gegenmaßnahmen
Bestätigt betroffen sind FortiWeb 8.0.1 und frühere Releases. Das Update auf 8.0.2 blockiert bekannte Exploits und sollte mit höchster Priorität ausgerollt werden. Die Aufnahme in den CISA‑KEV‑Katalog geht mit einer behördlichen Frist zur Behebung bis 21. November 2025 einher – ein klares Signal zur Dringlichkeit auch für nichtstaatliche Organisationen.
Für Umgebungen mit Update‑Aufschub verweisen Fortinet‑Bulletins auf temporäre Mitigations. Ergänzend bewährt sich in der Praxis: strikte Netzsegmentation und IP‑Allowlisting für das Admin‑GUI, Zugriff nur via VPN, Aktivierung von MFA, Härtung von Management‑Interfaces und zeitnahe Rotation sensibler Zugangsdaten nach dem Patchen.
Erkennung und Forensik: Indikatoren für einen möglichen Einbruch
Administratoren sollten Logdaten gezielt auf verdächtige POST‑Anfragen prüfen, die auf ungewöhnliche Pfadsequenzen abzielen (z. B. Aufrufe, die in cgi-bin‑Handler münden). Als belastbarer IoC gilt eine Anfragenkette, die über CMDB‑Routen in privilegierte CGI‑Endpunkte abbiegt. Zusätzlich ist die Historie lokaler Admin‑Konten zu kontrollieren sowie die Konfigurationsintegrität zu verifizieren.
Von watchTowr Labs bereitgestellte Werkzeuge können bei der Artefakt‑Suche unterstützen. Rapid7‑Analysen und Fortinet‑PSIRT‑Hinweise dienen als Referenz für Abklärungen und Triage. Ein erhöhter Telemetrie‑ und Alerting‑Level für Management‑Events sowie das Abgleichen mit Threat‑Intel‑Feeds (z. B. CISA KEV) erhöhen die Chance, Folgeaktivitäten frühzeitig zu erkennen.
Organisationen sollten diese Schwachstelle als Priorität der höchsten Stufe behandeln: umgehend auf FortiWeb 8.0.2 aktualisieren, Systeme auf Kompromittierungsindikatoren prüfen und den Zugang zu Verwaltungsoberflächen nachhaltig absichern. Wer Prozesse und Playbooks jetzt schärft, reduziert nicht nur das akute Risiko, sondern stärkt die Resilienz gegenüber künftigen Perimeter‑Exploits.
