đ„ Intro : Le dĂ©jĂ -vu made in Fortinet
A peine fini mon article du jour sur les problĂšmes de Forti, Fortinet, le champion autoproclamĂ© de la âsĂ©curitĂ© rĂ©seau de confianceâ, vient encore de se faire Ă©pingler pour une faille critique. Et quand on dit critique, on ne parle pas de la petite alerte qui se rĂ©sout en mettant un patch le mois prochain.
Non, lĂ on parle dâune CVE-2025-25256 notĂ©e 9,8/10 CVSS⊠et dĂ©jĂ exploitĂ©e dans la nature.
On croirait presque lire un mauvais remake, parce que ce nâest pas la premiĂšre fois que Fortinet se retrouve au cĆur dâun feuilleton de patchs en urgence.
Il faut dire que la marque nous a dĂ©jĂ servi, cet Ă©tĂ© mĂȘme, un buffet Ă volontĂ© de failles sur FortiOS, FortiProxy, FortiPAM et FortiManager. Un rĂ©gal pour les attaquants.
Bref, si vous pensiez que le mois dâaoĂ»t allait ĂȘtre tranquille, rangez vos tongues et ressortez vos checklists de mises Ă jour.
đ RĂ©fĂ©rence associĂ©e : Voir aussi đĄïž Multiples vulnĂ©rabilitĂ©s dans les produits Fortinet : mise Ă jour urgente recommandĂ©e
𧩠La faille en question : CVE-2025-25256
Type : Injection de commandes OS (OS Command Injection â CWE-78)
Gravité : 9,8/10
Exploit actif : Oui (et pas quâun peu)
Authentification requise : Non (pire cauchemar des admins)
En clair : un attaquant, sans mĂȘme avoir un compte, peut envoyer une requĂȘte CLI malveillante Ă FortiSIEM et exĂ©cuter nâimporte quelle commande systĂšme. Câest un peu comme si quelquâun vous passait un micro dans votre salon et diffusait vos conversations en direct⊠sauf que lĂ , le micro, câest un accĂšs root sur votre infra.
đ Versions vulnĂ©rables
| Version | Statut |
|---|---|
| 6.1 â 6.6 | Migrer vers une version corrigĂ©e |
| 6.7.0 â 6.7.9 | Mettre Ă jour vers 6.7.10+ |
| 7.0.0 â 7.0.3 | Mettre Ă jour vers 7.0.4+ |
| 7.1.0 â 7.1.7 | Mettre Ă jour vers 7.1.8+ |
| 7.2.0 â 7.2.5 | Mettre Ă jour vers 7.2.6+ |
| 7.3.0 â 7.3.1 | Mettre Ă jour vers 7.3.2+ |
| 7.4 | Non affecté |
Si vous ĂȘtes en 7.4, pour une fois, vous pouvez respirer (mais pas trop longtemps).
đŻ Les risques rĂ©els
- Compromission totale : Un attaquant peut installer un malware, créer des backdoors, ou siphonner les données.
- Pivot vers dâautres systĂšmes : FortiSIEM voit tout⊠et donc peut ĂȘtre utilisĂ© pour atteindre le reste de votre SI.
- Attaques furtives : Exploitation rapide et invisible pour un Ćil non averti.
- Image de marque : Pour Fortinet, câest une nouvelle ligne sur le CV âhistoriques de failles critiquesâ.
đ Un historique qui commence Ă ĂȘtre lourd
Ceux qui suivent la saga Fortinet savent que ce nâest pas un incident isolĂ©.
Des RCE, des bypass dâauthentification, des corruptions mĂ©moire⊠bref, de quoi faire pĂąlir un RSSI.
Ă ce rythme, on se demande si les bulletins de sĂ©curitĂ© Fortinet ne devraient pas ĂȘtre abonnĂ©s Ă un flux RSS spĂ©cial âUrgences critiquesâ.
đ ïž Ce quâil faut faire⊠hier
- Patch immédiat : Appliquez la mise à jour vers la version sécurisée indiquée par Fortinet.
- Limiter lâexposition : Coupez lâaccĂšs public Ă FortiSIEM, autorisez uniquement via VPN ou IP de confiance.
- Surveillance : Analysez les logs pour toute commande suspecte.
- Audit post-mortem : Si votre version Ă©tait exposĂ©e et vulnĂ©rable, partez du principe quâelle a Ă©tĂ© compromise et vĂ©rifiez tout.
đŻïž Conclusion piquante
Fortinet, encore un petit mot pour vous : la confiance, ça se gagne⊠et ça se perd vite.
Les RSSI ne vous remercient pas pour ces vacances studieuses, et les attaquants, eux, vous envoient probablement des cartes postales.
MoralitĂ© : mettez Ă jour, surveillez, segmentez. Et rappelez-vous quâen cybersĂ©curitĂ©, ce nâest pas parce que ça porte Ă©crit âFortiâ que câest forcĂ©ment fort.
đĄ Ressources :
