Fortinet akhirnya mengonfirmasi bahwa mereka telah menerapkan patch diam-diam (silent patch) untuk celah keamanan kritis pada FortiWeb Web Application Firewall, sebuah zero-day yang kini telah dieksploitasi secara besar-besaran di dunia nyata.
Kerentanan tersebut, kini dilacak sebagai CVE-2025-64446, memungkinkan penyerang tanpa autentikasi untuk menjalankan perintah administratif pada perangkat FortiWeb yang belum diperbarui hanya melalui permintaan HTTP/HTTPS berbahaya.
Zero-Day Dieksploitasi Sejak Awal Oktober
Eksploitasi pertama kali teridentifikasi pada 6 Oktober oleh firma intelijen ancaman Defused, yang menemukan adanya serangan misterius pada perangkat FortiWeb yang terekspos internet. Pelaku mengirimkan HTTP POST ke endpoint:
/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi
Payload ini digunakan untuk membuat akun admin baru secara paksa, mem-bypass autentikasi, dan mengambil alih perangkat.
watchTowr Labs kemudian mendemonstrasikan eksploitasi tersebut dengan video dan merilis alat bernama “FortiWeb Authentication Bypass Artifact Generator” untuk membantu defender mendeteksi perangkat yang rentan.
Sementara itu, Rapid7 memastikan bahwa eksploit hanya berhasil pada FortiWeb 8.0.1 ke bawah, dan berhenti bekerja setelah diperbarui ke 8.0.2, yang dirilis oleh Fortinet pada 28 Oktober—tiga minggu setelah eksploitasi pertama dilaporkan.
Fortinet Baru Mengakui Setelah Eksploit Meluas
Dalam security advisory yang diterbitkan hari Jumat, Fortinet akhirnya mengonfirmasi bahwa:
- Celah tersebut merupakan path confusion vulnerability pada komponen GUI FortiWeb.
- Penyerang dapat mengeksekusi perintah administratif tanpa autentikasi.
- Kerentanan ini aktif dieksploitasi di lingkungan nyata.
- Patch telah tersedia dalam versi 8.0.2 (28 Oktober).
Versi FortiWeb yang Terpengaruh & Solusi
| Versi | Terpengaruh | Solusi |
|---|---|---|
| FortiWeb 8.0 | 8.0.0 – 8.0.1 | Upgrade ke 8.0.2 atau lebih tinggi |
| FortiWeb 7.6 | 7.6.0 – 7.6.4 | Upgrade ke 7.6.5 atau lebih tinggi |
| FortiWeb 7.4 | 7.4.0 – 7.4.9 | Upgrade ke 7.4.10 atau lebih tinggi |
| FortiWeb 7.2 | 7.2.0 – 7.2.11 | Upgrade ke 7.2.12 atau lebih tinggi |
| FortiWeb 7.0 | 7.0.0 – 7.0.11 | Upgrade ke 7.0.12 atau lebih tinggi |
CISA Wajibkan Patch Maksimal 21 November
CISA memasukkan CVE-2025-64446 ke dalam KEV Catalog (Known Exploited Vulnerabilities), yang berarti kerentanan ini:
- Aktif digunakan penyerang,
- Menjadi risiko signifikan bagi pemerintah AS,
- Wajib dipatch selambat-lambatnya 21 November.
CISA menegaskan bahwa kerentanan seperti ini sering menjadi pintu masuk serangan dan memiliki dampak yang sangat luas bagi sistem federal.
Rekomendasi Mitigasi untuk Admin
Bagi admin yang belum bisa melakukan upgrade segera, Fortinet menyarankan:
- Menonaktifkan HTTP/HTTPS pada antarmuka manajemen yang menghadap internet,
- Membatasi akses hanya dari jaringan tepercaya,
- Memeriksa konfigurasi untuk memastikan tidak ada akun admin baru yang mencurigakan,
- Meninjau log untuk modifikasi tak sah.
Riwayat Masalah Keamanan Fortinet Belakangan Ini
Ini bukan pertama kalinya produk Fortinet menjadi target serangan besar:
- Agustus 2025: Fortinet patch command injection (CVE-2025-25256) di FortiSIEM setelah eksploit publik muncul.
- Tahun sebelumnya: Lonjakan besar brute-force pada Fortinet SSL VPN, diperingatkan oleh GreyNoise.
BleepingComputer telah menghubungi Fortinet untuk komentar tambahan, namun belum mendapat respons.