Fortinet a corrigé une vulnérabilité critique d’injection de commandement à Fortisiem, qui est soumise à un exploit de travail dans la nature, ainsi qu’à un contournement d’authentification à haute sévérité dans Fortios, Fortiproxy et Fortipam et plusieurs autres défauts à risque moyen.
Fortinet a fixé plusieurs vulnérabilités sur ses produits cette semaine, y compris une faille critique dans Fortisiem qui peut permettre aux attaquants non authentifiés d’exécuter du code ou des commandes non autorisés. Plus important encore, la société a déclaré qu’un exploit de travail pour ce défaut avait été détecté dans la nature.
La vulnérabilité, suivie sous forme de CVE-2025-25256, découle de la désinfection incorrecte des éléments spéciaux dans les demandes de commande OS envoyées à l’interface de ligne de commande (CLI) et a été fixée dans les versions 7.3.2, 7.2.6, 7.1.8, 7.0.4 et 6.7.10. Fortisiem 7.4 n’est pas affecté, et toutes les versions ci-dessous et incluant 6.6 sont affectées mais doivent migrer vers l’une des succursales prises en charge car elles ne recevront pas de correctif.
FortiSiem est un appareil matériel et virtuel qui effectue des informations de sécurité et une gestion des événements (SIEM). Il analyse le trafic réseau et les journaux pour détecter les menaces et effectuer une réponse aux incidents.
Les utilisateurs qui ne peuvent pas mettre à niveau sont invités à filtrer les communications sur le port 7900, qui est utilisé par le composant PhMonitor pour surveiller la santé des processus système et pour leur distribuer des tâches.
Fortinet a également corrigé un défaut de dérivation d’authentification à haute gravité, CVE-2024-26009, dans Fortios, Fortiproxy et Fortipam. La vulnérabilité ne peut être exploitée que sur des appareils gérés par un appareil FortiManager via le protocole FGFM propriétaire, et l’attaquant connaît le numéro de série de l’appareil. Si l’exploitation est réussie, les attaquants peuvent exécuter du code arbitraire et des commandes sur le système.
D’autres correctifs publiés cette semaine abordent les défauts à risque moyen dans divers produits, y compris une traversée de chemin, ce qui entraîne un écrasement arbitraire de fichiers (CVE-2024-52964) et une exécution de commande non autorisée, un problème de mémoire double libre (CVE-2023-45584) conduisant à un tissu de code UNAUTHORIS L’escalade des privilèges et un débordement entier (CVE-2025-25248) conduisant au déni de service.
Fortios Brute-Force Attacks on the Rise
Le même jour que ces correctifs, la société de surveillance du trafic malveillante Greynoise a déclaré avoir vu un pic important dans le trafic de force brute destinée aux VPN SSL Fortinet depuis le début du mois. Selon Greynoise Research, les pointes du trafic brute-force peuvent être un signe qu’une nouvelle vulnérabilité est sondée avant la divulgation.
« Des pics comme celui-ci précèdent souvent la divulgation de nouvelles vulnérabilités affectant le même fournisseur – la plupart dans les six semaines », a déclaré la société dans son rapport. « En fait, Greynoise a constaté que les pointes d’activité déclenchant cette étiquette exacte sont considérablement corrélées avec les futures vulnérabilités divulguées dans les produits Fortinet. »
Il convient de noter que les pointes observées par Greynoise sont venues en deux vagues: la première a commencé le 3 août et, sur la base de TCP sa signature, a ciblé un profil de périphérique FortiOS; Le second a commencé le 5 août et a égalé une signature TCP pour le profil FortiManager – FGFM. Que cela ait quelque chose à voir avec la vulnérabilité de contournement d’authentification CVE-2024-26009 à haute sévérité corrigée par Fortinet cette semaine n’est pas claire.
