Fortinet alerte les utilisateurs d’un bug critique dans FortiSIEM. Du code permettant aux criminels d’exploiter la faille a déjà été repéré dans la nature.
Fortinet alerte ses clients d’une nouvelle vulnérabilité. CVE-2025-25256 est un bug grave permettant aux pirates d’exécuter du code non autorisé. Via une requête CLI, il est possible d’exécuter ses propres instructions sur le système d’exploitation, permettant aux criminels de prendre le contrôle de tout l’environnement. Le bug reçoit un score CVSS de 9,8.
Versions vulnérables
FortiSIEM 7.4 n’est pas vulnérable. Les utilisateurs de cette version sont en sécurité. Pour FortiSIEM 6.6 et les versions antérieures (jusqu’à FortiSIEM 5.4), il n’y a pas de correctif et Fortinet recommande de mettre à niveau vers une version sécurisée. Les versions FortiSIEM suivantes doivent être corrigées :
- FortiSIEM 7.3 : mise à niveau vers 7.3.2 ou supérieur
- FortiSIEM 7.2 : mise à niveau vers 7.2.6 ou supérieur
- FortiSIEM 7.1 : mise à niveau vers 7.1.8 ou supérieur
- FortiSIEM 7.0 : mise à niveau vers 7.0.4 ou supérieur
- FortiSIEM 6.7 : mise à niveau vers 6.7.10 ou supérieur
En attendant une mise à niveau, les entreprises peuvent limiter le risque via une solution de contournement. Il suffit de restreindre l’accès au port phMonitor (7900).
Fortinet souligne que ce bug n’est pas purement théorique. Du code fonctionnel pour exploiter la vulnérabilité circule déjà sur Internet. Une correction rapide est donc essentielle.
Ce bug fait suite à une vague précédente d’attaques ciblant les VPN SSL Fortinet. L’entreprise de sécurité GreyNoise avait alors signalé un pic de tentatives de connexion malveillantes utilisant la force brute ou des identifiants volés. Il n’est pas clair si les deux incidents sont liés.