Fortinet a trouvé une nouvelle faille de sécurité (CVE-2025-24472) dans ses systèmes. L’entreprise souligne que cette faille a déjà été corrigée en janvier et qu’il ne s’agit pas d’une faille de type « zero-day ».)
Au début, il semblait que les attaquants exploitaient activement les deux vulnérabilités, mais Fortinet confirme aujourd’hui que seule la CVE-2024-55591 a été utilisée dans des attaques. Au début de l’année, les données de 15 000 firewalls FortiGate se sont retrouvées sur le dark web.
Que signifie la vulnérabilité ?
Le problème avec CVE-2025-24472 était que les pirates pouvaient l’exploiter pour obtenir des privilèges d’administrateur complets sans mot de passe grâce à une faiblesse dans le proxy CSF. Cela leur permettait d’accéder aux systèmes concernés et de modifier les paramètres. La vulnérabilité se produit dans FortiOS 7.0.0 à 7.0.16 et FortiProxy 7.0.0 à 7.0.19. Fortinet a corrigé le problème dans les versions ultérieures.
Les pirates ont utilisé cette fuite pour s’octroyer des privilèges d’administrateur, modifier des règles de pare-feu et prendre le contrôle de systèmes. Selon l’entreprise de cybersécurité Arctic Wolf, les attaquants exploitent CVE-2024-55591 depuis novembre 2024. Cette exploitation s’est déroulée en quatre phases :
- Analyse des systèmes (16-23 novembre 2024) : Les pirates recherchent des appareils vulnérables.
- Accès (22-27 novembre 2024) : Ils essaient d’entrer par les points faibles connus.
- Modification des paramètres (4-7 décembre 2024) : Ils modifient les paramètres du VPN pour conserver leur accès.
- Effraction plus profonde (16-27 décembre 2024) : Ils s’étendent davantage au sein du réseau.
Fortinet conseille aux administrateurs de mettre à jour leurs systèmes dès que possible. S’ils ne peuvent pas le faire, il leur est conseillé de désactiver l’interface de gestion ou de n’autoriser l’accès qu’à certaines adresses IP. Il leur est également conseillé de surveiller le trafic réseau et de mettre en place des contrôles d’accès stricts.
Les entreprises qui utilisent des produits Fortinet doivent vérifier leurs journaux pour détecter toute activité suspecte et examiner attentivement les règles du pare-feu. Une sécurité supplémentaire, telle que l’authentification multifactorielle (MFA), est recommandée pour empêcher tout accès indésirable à l’avenir.