Fortinet unter Druck: Neue FortiWeb-Schwachstelle aktiv ausgenutzt
Fortinet warnt vor einer frisch entdeckten Schwachstelle in FortiWeb, die bereits aktiv angegriffen wird. Die Lücke zwingt Administratoren zum schnellen Handeln – und wirft erneut Fragen zur Transparenz des Herstellers auf.
Fortinet hat eine neue Sicherheitslücke in FortiWeb bestätigt, die unter der Kennung CVE-2025-58034 geführt wird und eine Bewertung von 6,7 von höchstens 10,0 erhält. Trotz der formalen Einstufung als „nur“ mittlere Bedrohung ist die Gefahr real und akut: Die Schwachstelle wird laut Fortinet bereits in freier Wildbahn ausgenutzt.
Im Mittelpunkt steht eine Schwachstelle, die es einem Angreifer erlaubt, eigene Befehle auf dem Betriebssystem des FortiWeb-Systems auszuführen. Vereinfacht gesagt: Die Angreifer können dem Gerät schädliche Kommandos unterschieben, die es ohne ausreichende Prüfung übernimmt. Fortinet beschreibt dies als „unzureichende Neutralisierung spezieller Elemente in Betriebssystembefehlen“ – also eine Lücke, bei der gefährliche Zeichen oder Befehlsfragmente nicht korrekt herausgefiltert werden.
Zwar weist der Hersteller darauf hin, dass ein Angreifer zunächst angemeldet sein müsste, um die Lücke auszunutzen. Doch diese Hürde schützt nicht zuverlässig. In der Praxis können Angreifer gestohlene Zugangsdaten verwenden oder mehrere Schwachstellen miteinander kombinieren, um sich Zugriff zu verschaffen.
Fortinet selbst schreibt kleinlaut: „… kann es einem angemeldeten Angreifer ermöglichen, über manipulierte HTTP-Anfragen oder Kommandozeilenbefehle nicht autorisierten Code auf dem System auszuführen.“
Verwundbare Versionen und verfügbare Updates
Die Schwachstelle betrifft eine ganze Reihe von FortiWeb-Versionen, also nicht nur eine einzelne Softwaregeneration. Fortinet hat dafür Sicherheitsupdates veröffentlicht und nennt klar, ab welchen Versionen die Lücke geschlossen ist.
Konkret gilt:
- FortiWeb Version 8.0.0 bis 8.0.1 sollten auf Version 8.0.2 oder höher aktualisiert werden
• FortiWeb Version 7.6.0 bis 7.6.5 sollten auf Version 7.6.6 oder höher aktualisiert werden
• FortiWeb Version 7.4.0 bis 7.4.10 sollten auf Version 7.4.11 oder höher aktualisiert werden
• FortiWeb Version 7.2.0 bis 7.2.11 sollten auf Version 7.2.12 oder höher aktualisiert werden
• FortiWeb Version 7.0.0 bis 7.0.11 sollten auf Version 7.0.12 oder höher aktualisiert werden
Der Sicherheitshinweis erwähnt außerdem den Forscher Jason McFadyen von Trend Micro, der die Schwachstelle im Rahmen einer verantwortungsvollen Meldung an den Hersteller entdeckt und eingereicht hat.
Kritik an fehlender Transparenz
Brisant ist der zeitliche Zusammenhang: Nur wenige Tage zuvor hatte Fortinet bereits eine andere, deutlich schwerwiegendere FortiWeb-Schwachstelle still und leise geschlossen – CVE-2025-64446, bewertet mit 9,1. Diese Lücke wurde in der Version 8.0.2 behoben, ohne dass der Hersteller gleichzeitig eine offizielle Warnung veröffentlichte. Statt einer ausführlichen Erklärung gab es lediglich eine knappe Stellungnahme:
„Wir haben sofort nach Bekanntwerden mit unserem PSIRT-Prozess und den Gegenmaßnahmen begonnen, und diese Arbeiten laufen weiterhin.“
Mehrere Sicherheitsforscher kritisieren dieses Vorgehen scharf. Die Analyseplattform VulnCheck formulierte es vergangene Woche sehr deutlich: „Wenn große Technikanbieter neue Sicherheitsprobleme nicht kommunizieren, laden sie Angreifer geradezu ein – während sie dieselben Informationen vor den Verteidigern zurückhalten.“
Für Sicherheitsverantwortliche entsteht dadurch ein ernstes Problem: Ohne rechtzeitige Hinweise des Herstellers können erforderliche Schutzmaßnahmen nicht schnell genug umgesetzt werden. Das führt zu einem Informationsvorsprung für Angreifer – und erhöht das Risiko erfolgreicher Angriffe spürbar.
Behörden ordnen schnelle Maßnahmen an
Die US-Behörde CISA hat die Schwachstelle inzwischen in ihren Katalog der Known Exploited Vulnerabilities (KEV) aufgenommen. Für die Behörden des Federal Civilian Executive Branch gilt nun die verbindliche Vorgabe, diese Lücke spätestens bis zum 25. November 2025 zu schließen.
Das macht deutlich: Auch wenn die Schwachstelle CVE-2025-58034 offiziell nur als „mittel“ eingestuft ist, weist sie alle Eigenschaften einer ernsthaften Bedrohung auf – vor allem deshalb, weil sie bereits aktiv missbraucht wird und die Kommunikation im Vorfeld eher bescheiden war.