- CVE-2025-64446 memungkinkan penyerang yang tidak diautentikasi menjalankan perintah admin di sistem FortiWeb WAF
- Dieksploitasi secara aktif di alam liar; memengaruhi versi 7.0.0–8.0.1, yang ditambal di 8.0.2
- CISA menambahkannya ke KEV; Fortinet mendesak untuk segera menambal atau menonaktifkan antarmuka HTTP/HTTPS yang terhubung ke internet
Fortinet telah merilis perbaikan untuk kerentanan kritis di firewall aplikasi web (WAF) FortiWeb, dan mendesak pelanggan untuk segera memperbarui, karena kelemahan tersebut sedang dieksploitasi secara aktif di alam liar.
Perusahaan tersebut menerbitkan nasihat keamanan baru, dengan mengatakan bahwa hal tersebut mengatasi kerentanan lintasan jalur relatif yang memungkinkan pelaku ancaman yang tidak diautentikasi untuk menjalankan perintah administratif pada sistem.
Bug tersebut kini dilacak sebagai CVE-2025-64446 dan diberi skor tingkat keparahan 9,8/10, yang berarti bug ini kritis dan harus segera diatasi.
Menyalahgunakan zero-day
Bug ini mempengaruhi beberapa versi WAF:
8.0.0 hingga 8.0.1,
7.6.0 hingga 7.6.4,
7.4.0 hingga 7.4.9,
7.2.0 hingga 7.2.11,
7.0.0 hingga 7.0.11
Itu telah diperbaiki pada versi 8.0.2, peneliti keamanan mengkonfirmasi.
Perbaikan harus diterapkan tanpa ragu-ragu, Fortinet menambahkan, menyatakan bahwa bug tersebut “diamati dieksploitasi di alam liar.”
Memang benar, karena beberapa lembaga keamanan telah memperingatkan hal ini selama berminggu-minggu. Pada awal Oktober 2025, peneliti keamanan dari Defused menerbitkan Proof-of-Concept (PoC) untuk “eksploitasi Fortinet yang tidak diketahui”, diikuti dengan demo eksploitasi yang diterbitkan oleh watchTowr Labs.
Mereka yang tidak dapat menerapkan perbaikan segera harus menonaktifkan HTTP atau HTTPS untuk antarmuka yang terhubung ke internet, saran Fortinet. “Jika antarmuka Manajemen HTTP/HTTPS hanya dapat diakses secara internal sesuai praktik terbaik, maka risikonya akan berkurang secara signifikan.” Selain itu, setelah melakukan patching, pengguna harus meninjau konfigurasi mereka dan meninjau log untuk mengetahui adanya perubahan yang tidak terduga, dan untuk melihat apakah ada akun admin baru yang ditambahkan.
Bug ini juga ditambahkan ke katalog Kerentanan Eksploitasi yang Diketahui (KEV) CISA, yang berarti lembaga federal memiliki waktu hingga 21 November untuk menambal atau berhenti menggunakan WAF Fortinet.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA memperingatkan.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
