Fortinet sous le feu des projecteurs : une faille critique dans FortiSIEM déclenche une frénésie d’exploitation

Quelques jours seulement après l’alerte lancée par les chercheurs en sécurité, les cybercriminels tournent déjà autour de la plateforme FortiSIEM de Fortinet, exploitant une vulnérabilité critique qui pourrait permettre aux attaquants de prendre le contrôle des réseaux d’entreprise. La faille, identifiée sous le code CVE-2025-64155, n’est pas seulement la dernière d’une série de faux pas en matière de sécurité pour Fortinet, mais rappelle aussi brutalement que même des défenses renforcées peuvent laisser des angles morts dangereux.

Au cœur de la brèche : qu’est-ce qui a mal tourné ?

La dernière crise de sécurité pour Fortinet concerne FortiSIEM, une plateforme utilisée par des entreprises du monde entier pour surveiller et gérer leur infrastructure informatique. Selon les chercheurs de Horizon3.ai, la vulnérabilité provient d’une « neutralisation incorrecte d’éléments spéciaux » - en d’autres termes, d’un échec à filtrer correctement les entrées dangereuses dans le système d’exploitation. Cette faille permet aux attaquants d’injecter et d’exécuter des commandes arbitraires, leur offrant potentiellement un contrôle total du système.

Quelques jours après la publication par les chercheurs d’une preuve de concept, des groupes de cybermenaces ont commencé à scanner et attaquer les systèmes vulnérables. Defused, un groupe de recherche en sécurité, a confirmé que leurs honeypots avaient détecté des tentatives d’exploitation presque immédiatement après la divulgation de la faille.

Ce qui est particulièrement inquiétant, c’est que cette vulnérabilité s’inscrit dans un schéma récurrent. Des failles précédentes dans la même fonction de haut niveau du phMonitor de FortiSIEM ont été découvertes en 2023 et début 2024. Malgré les efforts de Fortinet pour corriger les composants affectés, des experts comme Zach Hanley de Horizon3.ai estiment que l’approche de l’entreprise a été fragmentaire, se concentrant sur les composants directement vulnérables tout en négligeant les surfaces d’attaque interconnectées.

Bien que cette dernière faille n’ait pas encore été ajoutée au catalogue officiel des vulnérabilités exploitées de la Cybersecurity and Infrastructure Security Agency, sa mention dans les discussions du tristement célèbre gang de ransomware Black Basta laisse penser qu’elle pourrait bientôt devenir une cible privilégiée pour des attaques de grande envergure.

Des leçons non retenues ?

La rapidité avec laquelle cette vulnérabilité a été militarisée révèle une réalité préoccupante : même les principaux fournisseurs de sécurité peuvent être dépassés, et les attaquants sont prompts à exploiter la moindre faille. Alors que la situation évolue, les entreprises qui dépendent des produits Fortinet doivent évaluer d’urgence leur exposition et exiger transparence et responsabilité de la part de leurs fournisseurs. Dans le monde à haut risque de la cybersécurité, il n’y a pas de seconde chance pour la complaisance.

WIKICROOK

• Vulnérabilité : Une vulnérabilité est une faiblesse dans un logiciel ou un système que des attaquants peuvent exploiter pour obtenir un accès non autorisé, voler des données ou causer des dommages.
• Preuve : Une preuve de concept (PoC) est une démonstration montrant qu’une vulnérabilité de cybersécurité peut être exploitée, aidant à valider et évaluer les risques réels.
• Honeypot : Un honeypot est un faux système mis en place pour attirer les cyberattaquants, permettant aux organisations d’étudier les méthodes d’attaque sans mettre en danger leurs actifs réels.
• Exécution de commande : L’exécution de commande se produit lorsqu’un système exécute des instructions provenant d’un utilisateur ou d’un attaquant, permettant potentiellement des actions non autorisées si le système n’est pas correctement sécurisé.
• Surface d’attaque : La surface d’attaque représente l’ensemble des points par lesquels un attaquant pourrait tenter d’entrer ou d’extraire des données d’un système ou d’un réseau.