Un débordement de tampon basé sur la pile dans plusieurs solutions Fortinet fait l’objet d’une exploitation active. La vulnérabilité permet à des attaquants non autorisés d’exécuter leur propre code via des requêtes HTTP personnalisées.
Fortinet met en garde contre une faille critique susceptible d’affecter différentes solutions. La vulnérabilité, désignée CVE-2025-32756 ou CWE-121 selon la numérotation propre à Fortinet, a déjà été exploitée dans la pratique sur les systèmes de communication FortiVoice. FortiNDR, FortiRecorder et FortiCamera seraient également vulnérables. La vulnérabilité a été découverte par l’équipe de sécurité des produits de Fortinet après l’analyse d’activités suspectes.
Via des requêtes HTTP spécialement conçues, un attaquant peut exécuter des commandes arbitraires sur le système sans authentification. Lors d’une attaque enregistrée, l’attaquant a effectué plusieurs actions : le réseau a été scanné, les journaux de crash ont été supprimés, et le débogage FCGI a été activé. Ce débogage permet d’intercepter les mots de passe du système ou via des tentatives de connexion SSH.
lire aussi
La vulnérabilité de FortiSwitch rend le changement de mots de passe un jeu d’enfant
Fortinet partage une liste d’actions possibles pouvant indiquer une attaque réussie. Parmi celles-ci figurent des paramètres système modifiés, des fichiers journaux et des fichiers ajoutés, y compris des logiciels malveillants qui interceptent les mots de passe SSH. Des adresses IP suspectes sont également partagées.
Correctif disponible
La vulnérabilité affecte différentes versions logicielles des produits concernés. Fortinet a publié des mises à jour ou demande de migrer vers une version corrigée. Pour FortiVoice, les utilisateurs doivent effectuer une mise à niveau vers la version 7.2.1 ou supérieure. Une liste complète des versions affectées et des solutions correspondantes est disponible.
En tant que mesure temporaire, Fortinet conseille de désactiver l’interface d’administration via HTTP/HTTPS. Les organisations utilisant l’un des produits affectés feraient bien de vérifier leurs systèmes pour détecter des traces d’abus. Cependant, l’application rapide des correctifs reste le meilleur remède.
Ces derniers mois, des vulnérabilités critiques sont survenues plus fréquemment dans différents produits Fortinet, tels que FortiGate et FortiSwitch. La plus récente porte dérobée dans FortiGate est une ancienne vulnérabilité de 2022 qui est réapparue. Les entreprises du Benelux et de France courent également un risque à cet égard.