ISGroup Conseil en Cybersécurité

CVE-2025-64446 : Vulnérabilité de Path Traversal non authentifiée dans Fortinet FortiWeb permettant l’exécution de code à distance

Fortinet FortiWeb est une solution de pare-feu d’applications web (WAF) déployée au périmètre du réseau pour protéger les applications web critiques contre un large éventail de cyberattaques. En raison de sa position stratégique, il est souvent exposé à Internet, devenant une cible de grande valeur pour les acteurs malveillants cherchant à compromettre la sécurité périmétrique d’une organisation.

Cette vulnérabilité présente un risque critique, car elle permet à un attaquant distant non authentifié d’obtenir le contrôle administratif complet sur le dispositif FortiWeb. Une exploitation réussie conduit à la compromission totale du système, permettant à l’attaquant de désactiver les protections de sécurité, d’intercepter des données sensibles et d’utiliser le dispositif comme point d’accès pour des attaques ultérieures sur le réseau interne.

Bien qu’il n’y ait actuellement aucun signalement public d’exploitation active de la CVE-2025-64446, un exploit public est disponible. Cela augmente considérablement la probabilité d’attaque, car la barrière à l’entrée pour les menaces potentielles est très faible. Toutes les organisations utilisant les versions concernées, en particulier celles dont les interfaces de gestion sont exposées à Internet, sont en danger immédiat et doivent agir de toute urgence.

ProduitFortinet FortiWeb
Date06/12/2025 12:22:11

Résumé technique

La cause principale de cette vulnérabilité est une CWE-22 : Limitation inappropriée d’un chemin vers un répertoire restreint (‘Path Traversal’). L’interface de gestion de FortiWeb ne parvient pas à assainir correctement les entrées fournies par les utilisateurs dans les requêtes HTTP et HTTPS, permettant à un attaquant d’utiliser des séquences de traversée de chemin (ex. ../) pour sortir du répertoire racine web limité.

La chaîne d’attaque peut être résumée comme suit :

  1. Un attaquant non authentifié envoie une requête HTTP/S spécialement conçue vers un dispositif FortiWeb exposé.
  2. La requête cible un point de terminaison API non spécifié et inclut des séquences de traversée de chemin dans un paramètre.
  3. Le logiciel sous-jacent ne neutralise pas ces séquences, accordant à l’attaquant un accès en lecture/écriture à des fichiers arbitraires sur le système de fichiers.
  4. En accédant et en exécutant des scripts ou des binaires administratifs au niveau du système, l’attaquant obtient l’exécution de code à distance avec les privilèges du processus du serveur web, qui opère en tant qu’administrateur.

Versions concernées :

  • FortiWeb 8.0 : versions de 8.0.0 à 8.0.1
  • FortiWeb 7.6 : versions de 7.6.0 à 7.6.4
  • FortiWeb 7.4 : versions de 7.4.0 à 7.4.9
  • FortiWeb 7.2 : versions de 7.2.0 à 7.2.11
  • FortiWeb 7.0 : versions de 7.0.0 à 7.0.11

Fortinet a publié des correctifs pour toutes les branches concernées. Une exploitation réussie permet à un attaquant de prendre le contrôle complet du dispositif, le transformant en un agent hostile sur le périmètre du réseau.

Recommandations

  • Appliquer les correctifs immédiatement : Mettre à jour tous les dispositifs FortiWeb concernés vers la version corrigée la plus récente fournie par Fortinet pour votre ligne de version.
  • Mesures d’atténuation : En tant que mesure temporaire, s’il n’est pas possible d’appliquer le correctif immédiatement, limitez tout accès à l’interface de gestion de FortiWeb à un réseau interne dédié et sécurisé. N’exposez pas l’interface de gestion à Internet. Utilisez des listes de contrôle d’accès (ACL) sur les dispositifs en amont pour renforcer cette limitation.
  • Chasse et surveillance :
    • Vérifiez les journaux d’accès web du dispositif FortiWeb à la recherche de requêtes contenant des séquences de traversée de chemin telles que ../, ..%2f, %2e%2e/ et leurs variantes encodées.
    • Surveillez toute connexion réseau sortante anormale provenant du dispositif FortiWeb, ce qui pourrait indiquer une compromission réussie et des communications avec un serveur de commande et de contrôle (C2).
    • Recherchez la création de fichiers inattendus ou de processus actifs avec des privilèges administratifs sur le dispositif.

  • Réponse aux incidents : Si une compromission est suspectée, isolez immédiatement le dispositif FortiWeb concerné du réseau pour empêcher tout mouvement latéral. Conservez tous les journaux, les images disques et les fichiers de configuration pour une analyse forensique. Partez du principe que tout le trafic ayant transité par le WAF a pu être compromis et lancez une enquête approfondie sur l’incident.
  • Défense en profondeur : Assurez-vous que la segmentation du réseau est mise en œuvre pour limiter l’impact d’un dispositif périmétrique compromis. Effectuez régulièrement des sauvegardes des configurations de l’appliance pour faciliter une restauration rapide en cas d’incident de sécurité.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *