A photograph of a building with Fortinet

Fortinet critiqué pour ses correctifs « silencieux » après avoir révélé une deuxième vulnérabilité zero-day sur le même équipement

Lucas Morel

La CISA a ordonné aux agences de corriger le pare-feu des applications Web FortiWeb dans les sept jours suivant l’annonce des exploits.

Quelques jours seulement après que Fortinet ait été critiqué par les chercheurs pour avoir corrigé « silencieusement » une vulnérabilité Zero Day sans en informer ses clients, il est apparu qu’il avait fait de même pour une seconde vulnérabilité Zero Day utilisée dans le cadre de la même chaîne d’attaque.

Il s’agit de l’histoire de deux vulnérabilités zero-day du pare-feu d’application Web FortiWeb rendues publiques à quatre jours d’intervalle : CVE-2025-64446 (FG-IR-25-910), rendue publique le 14 novembre, et une seconde, CVE-2025-58034 (FG-IR-25-513), rendue publique le 18 novembre.

La plus grave est la première, CVE-2025-64446, classée « critique » avec un score CVSS de 9,4, comprenant deux failles d’interface graphique légèrement différentes, la première une vulnérabilité de traversée de chemin, la seconde une faiblesse de contournement d’authentification.

Parce que Fortinet a déclaré avoir « observé que cela était exploité dans la nature », cela l’a immédiatement placé dans une catégorie de failles que les équipes de sécurité allaient prioriser.

Sauf que, selon watchTowr Labs, la vulnérabilité a été corrigée le 28 octobre avec la sortie de FortiWeb WAF version 8.0.2, plus de deux semaines avant qu’elle ne soit divulguée comme étant un jour zéro.

« Fortinet a-t-il trébuché, silencieusement, en corrigeant une vulnérabilité ? Seul Fortinet le sait vraiment », a observé watchTowr Labs.

L’insécurité par l’obscurité

Alors que les critiques à l’égard de cette approche de mise à jour « silencieuse » se multiplient, Fortinet a publié le 18 novembre un avertissement concernant une deuxième vulnérabilité zero-day exploitée dans la nature, également corrigée par la mise à jour de la version 8.0.2 du 28 octobre.

Identifiée comme CVE-2025-58034, il s’agit d’une vulnérabilité d’injection de commandes du système d’exploitation avec une gravité « moyenne » et un score CVSS de 6,7 qui « peut permettre à un attaquant authentifié d’exécuter du code non autorisé sur le système sous-jacent via des requêtes HTTP contrefaites ou des commandes CLI », a déclaré Fortinet.

Elle était également exploitée dans la nature, a déclaré Fortinet, ce qui en fait une deuxième vulnérabilité zero-day que les équipes de sécurité doivent gérer en quelques jours.

Pourquoi Fortinet a-t-il attendu pour révéler l’existence de vulnérabilités déjà exploitées ? Il est possible que Fortinet soit au courant des failles, d’où le correctif qui les corrige, mais pas qu’elles aient été exploitées. Cela semble incroyablement improbable étant donné que des rapports provenant de plusieurs sources mentionnent des détections d’exploits remontant à début octobre.

Une deuxième possibilité, plus controversée, est que l’entreprise en était au courant mais a décidé de ne pas les divulguer pour éviter d’alerter d’autres criminels de leur existence jusqu’à ce que davantage de clients aient appliqué la mise à jour de la version 8.0.2.

Quoi qu’il en soit, ce qui est plus difficile à expliquer, c’est pourquoi Fortinet a choisi de divulguer le zéro jour à quatre jours d’intervalle. Cela est pertinent car il est apparu depuis que les vulnérabilités sont, au moins dans certaines attaques, utilisées dans le cadre de la même chaîne de compromission.

Dans un post sur X, Orange Cyberdefence a noté que « plusieurs campagnes d’exploitation ciblant le Fortinet FortiWeb CVE-2025-58034 (root LPE) chaîné avec CVE-2025-64446 sont actuellement en cours ».

« Si le correctif avait mentionné la vulnérabilité Zero Day, les organisations auraient peut-être compris qu’il s’agissait d’une urgence plutôt que d’une routine et planifiées pour la prochaine fenêtre de maintenance », a convenu Amruth Laxman, partenaire fondateur du fournisseur de VoIP cloud 4Voice. Il pensait que la transparence sur les défauts graves était essentielle pour que les clients puissent prendre des décisions éclairées.

Conseils de patch

Les versions concernées de FortiWeb incluent 7.0.0 à 7.0.11, 7.2.0 à 7.2.11, 7.4.0 à 7.4.9, 7.6.0 à 7.6.4 et 8.0.0 à 8.0.1. Les correctifs sont appliqués, dans le même ordre, par les versions 7.0.12, 7.2.12, 7.4.10, 7.6.5 et 8.0.2.

Parallèlement, l’utilisation généralisée de FortiWeb WAFS au sein du gouvernement a incité la CISA à avertir les agences qu’elles devraient mettre à jour le correctif CVE-2025-58034 dans un délai d’une semaine, un délai inhabituellement court pour la mise à jour.

« Ce type de vulnérabilité est un vecteur d’attaque fréquent pour les cyber-acteurs malveillants et présente des risques importants pour l’entreprise fédérale », a déclaré la CISA.

En tant que principal fournisseur de réseaux, Fortinet est une cible fréquente d’exploitations de vulnérabilités, y compris les vulnérabilités Zero Day telles que la vulnérabilité de contournement classée « critique » affectant les passerelles Web sécurisées FortiProxy début 2025.

Sécurité des applicationsSécuritéVulnérabilitésVulnérabilités du jour zéro

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Gemini, Google, Smartphone
Gemini pour Chrome dispose d’un deuxième agent IA pour le surveiller
Cyberattaques contre les universités | Chouette noire
Cyberattaques contre les universités | Chouette noire
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern