Fortinet, acteur majeur de la cybersécurité, vient de publier une série de correctifs critiques pour plusieurs de ses produits phares. Le CERT-FR alerte sur des vulnérabilités multiples pouvant permettre à un attaquant d’exécuter du code arbitraire, d’élever ses privilèges, ou encore de provoquer un déni de service à distance.
Pire encore : Fortinet confirme avoir connaissance de codes d’exploitation disponibles. Autrement dit, les cybercriminels pourraient déjà tenter de tirer profit de ces failles.
🧩 Comprendre l’alerte
Cette alerte s’appuie sur une série de bulletins Fortinet référencés FG-IR-23-209 à FG-IR-25-448, publiés le 12 août 2025.
Ces bulletins couvrent plusieurs vulnérabilités de nature différente :
- Double-free dans certains modules d’administration, pouvant conduire à une exécution de code arbitraire.
- Bypass d’authentification via le protocole FGFM, permettant un accès non autorisé.
- Integer overflow dans la gestion des favoris SSL-VPN RDP/VNC, menant potentiellement à une corruption mémoire exploitable.
- Mauvaise gestion des privilèges au sein du Security Fabric.
- Écrasement de fichiers arbitraires dans FortiManager, ouvrant la voie à l’élévation de privilèges.
📋 Liste des produits impactés
D’après les bulletins et l’alerte CERT-FR, les produits concernés sont :
- FortiOS
- Vulnérabilités : double-free, bypass d’authentification, overflow VPN, gestion des privilèges.
- FortiProxy
- Vulnérabilités : similaires à celles de FortiOS (double-free, bypass d’auth, overflow).
- FortiPAM
- Vulnérabilités : similaires à FortiOS (modules partagés vulnérables).
- FortiManager
- Vulnérabilité : écrasement de fichiers arbitraires via FGFMd.
- Possibles autres produits Fortinet
- Référencés dans les bulletins FG-IR-24-421, FG-IR-25-150, FG-IR-25-152, FG-IR-25-253, FG-IR-25-383, FG-IR-25-448, sans détails publics complets à ce jour.
⚠️ Pourquoi c’est critique
- Exploitation active possible : Fortinet indique que certains exploits sont déjà disponibles.
- Large surface d’attaque : FortiOS et FortiProxy sont largement déployés, souvent en frontal Internet.
- Impacts multiples : de la compromission totale d’un système à la perturbation de services critiques.
🛠️ Recommandations immédiates
- Mettre à jour sans attendre vers les versions corrigées listées dans chaque bulletin Fortinet.
- VĂ©rifier les bulletins : FG-IR-23-209, FG-IR-24-042, FG-IR-24-364, FG-IR-24-473, etc.
- Limiter l’exposition des interfaces d’administration :
- Restreindre l’accès aux IP internes ou via VPN.
- Désactiver l’accès externe direct si non indispensable.
- Surveiller les journaux pour détecter toute activité suspecte :
- Connexions inhabituelles, exécutions inattendues, anomalies dans les sessions VPN.
- Renforcer la segmentation réseau pour limiter l’impact d’une compromission éventuelle.
📝 À retenir
Les vulnérabilités signalées touchent plusieurs briques essentielles de la sécurité réseau Fortinet. Leur exploitation pourrait permettre à un attaquant de prendre le contrôle complet d’un équipement ou de perturber sérieusement le trafic et la sécurité.
Vu la confirmation d’un risque d’exploitation active, l’application rapide des correctifs est impérative.
💡 Lien utile : Avis CERT-FR CERTFR-2025-AVI-0679
📄 Bulletins Fortinet : accessibles depuis le portail de support Fortinet.
