🥁 Intro : Le déjà-vu made in Fortinet
A peine fini mon article du jour sur les problèmes de Forti, Fortinet, le champion autoproclamé de la “sécurité réseau de confiance”, vient encore de se faire épingler pour une faille critique. Et quand on dit critique, on ne parle pas de la petite alerte qui se résout en mettant un patch le mois prochain.
Non, là on parle d’une CVE-2025-25256 notée 9,8/10 CVSS… et déjà exploitée dans la nature.
On croirait presque lire un mauvais remake, parce que ce n’est pas la première fois que Fortinet se retrouve au cœur d’un feuilleton de patchs en urgence.
Il faut dire que la marque nous a déjà servi, cet été même, un buffet à volonté de failles sur FortiOS, FortiProxy, FortiPAM et FortiManager. Un régal pour les attaquants.
Bref, si vous pensiez que le mois d’août allait être tranquille, rangez vos tongues et ressortez vos checklists de mises à jour.
🔗 Référence associée : Voir aussi 🛡️ Multiples vulnérabilités dans les produits Fortinet : mise à jour urgente recommandée
🧩 La faille en question : CVE-2025-25256
Type : Injection de commandes OS (OS Command Injection – CWE-78)
Gravité : 9,8/10
Exploit actif : Oui (et pas qu’un peu)
Authentification requise : Non (pire cauchemar des admins)
En clair : un attaquant, sans même avoir un compte, peut envoyer une requête CLI malveillante à FortiSIEM et exécuter n’importe quelle commande système. C’est un peu comme si quelqu’un vous passait un micro dans votre salon et diffusait vos conversations en direct… sauf que là, le micro, c’est un accès root sur votre infra.
📋 Versions vulnérables
| Version | Statut |
|---|---|
| 6.1 → 6.6 | Migrer vers une version corrigée |
| 6.7.0 → 6.7.9 | Mettre à jour vers 6.7.10+ |
| 7.0.0 → 7.0.3 | Mettre à jour vers 7.0.4+ |
| 7.1.0 → 7.1.7 | Mettre à jour vers 7.1.8+ |
| 7.2.0 → 7.2.5 | Mettre à jour vers 7.2.6+ |
| 7.3.0 → 7.3.1 | Mettre à jour vers 7.3.2+ |
| 7.4 | Non affecté |
Si vous êtes en 7.4, pour une fois, vous pouvez respirer (mais pas trop longtemps).
🎯 Les risques réels
- Compromission totale : Un attaquant peut installer un malware, créer des backdoors, ou siphonner les données.
- Pivot vers d’autres systèmes : FortiSIEM voit tout… et donc peut être utilisé pour atteindre le reste de votre SI.
- Attaques furtives : Exploitation rapide et invisible pour un œil non averti.
- Image de marque : Pour Fortinet, c’est une nouvelle ligne sur le CV “historiques de failles critiques”.
📜 Un historique qui commence à être lourd
Ceux qui suivent la saga Fortinet savent que ce n’est pas un incident isolé.
Des RCE, des bypass d’authentification, des corruptions mémoire… bref, de quoi faire pâlir un RSSI.
À ce rythme, on se demande si les bulletins de sécurité Fortinet ne devraient pas être abonnés à un flux RSS spécial “Urgences critiques”.
🛠️ Ce qu’il faut faire… hier
- Patch immédiat : Appliquez la mise à jour vers la version sécurisée indiquée par Fortinet.
- Limiter l’exposition : Coupez l’accès public à FortiSIEM, autorisez uniquement via VPN ou IP de confiance.
- Surveillance : Analysez les logs pour toute commande suspecte.
- Audit post-mortem : Si votre version était exposée et vulnérable, partez du principe qu’elle a été compromise et vérifiez tout.
🗯️ Conclusion piquante
Fortinet, encore un petit mot pour vous : la confiance, ça se gagne… et ça se perd vite.
Les RSSI ne vous remercient pas pour ces vacances studieuses, et les attaquants, eux, vous envoient probablement des cartes postales.
Moralité : mettez à jour, surveillez, segmentez. Et rappelez-vous qu’en cybersécurité, ce n’est pas parce que ça porte écrit “Forti” que c’est forcément fort.
💡 Ressources :
