Netcrook Logo
👤 KERNELWATCHER
🗓️ 14 Jan 2026  

Enraciné dans le silence : comment une faille discrète de Fortinet a failli ouvrir les coffres-forts des entreprises du monde entier

Une vulnérabilité critique dans FortiSIEM a exposé des milliers d’entreprises à l’exécution de code à distance sans authentification - jusqu’à l’intervention d’un chercheur vigilant.

Imaginez ceci : un simple port réseau silencieux, vrombissant discrètement dans un coin de la forteresse de sécurité de votre organisation. Maintenant, imaginez que derrière ce port se cache une vulnérabilité si grave que, pendant des mois, tout attaquant ayant accès au réseau aurait pu prendre le contrôle total de votre système de surveillance de sécurité - sans aucun mot de passe requis. Ce n’est pas le scénario d’un thriller cybernétique ; c’est l’histoire réelle derrière CVE-2025-64155, la faille récemment corrigée de FortiSIEM qui menaçait de transformer des appareils de confiance en plateformes de lancement d’attaques.

En bref

  • Faille critique (CVSS 9.4) dans FortiSIEM permettant l’exécution de code à distance sans authentification.
  • Vulnérabilité trouvée dans le service phMonitor, exposant le port 7900 aux attaques.
  • L’exploitation permettait une élévation de privilèges de l’admin vers root, offrant un contrôle total du système.
  • Faille découverte et signalée par Zach Hanley, chercheur chez Horizon3.ai, en août 2025.
  • Fortinet a publié des correctifs urgents pour les versions concernées et conseillé de restreindre l’accès réseau comme solution temporaire.

Anatomie d’une brèche silencieuse

Au cœur de la crise se trouve FortiSIEM, une plateforme de gestion des informations et des événements de sécurité (SIEM) utilisée par des entreprises du monde entier pour surveiller, détecter et répondre aux menaces. La faille, répertoriée sous CVE-2025-64155, se cachait dans le service backend phMonitor - un processus chargé des vérifications d’intégrité et des communications inter-nœuds via le port TCP 7900. De façon cruciale, plusieurs gestionnaires de commandes de ce service ne nécessitaient aucune authentification. Toute personne ayant accès au réseau pouvait interagir avec eux, sans aucune vérification.

La vulnérabilité elle-même reposait sur une chaîne d’attaque en deux étapes. D’abord, une requête TCP spécialement conçue pouvait injecter des arguments malveillants dans une commande shell, exploitant une mauvaise validation des entrées. Cela permettait à un attaquant d’écrire des fichiers arbitraires sur le disque en tant qu’utilisateur admin. Ensuite, en ciblant un script exécuté chaque minute par une tâche cron au niveau root du système, l’attaquant pouvait élever ses privilèges - obtenant ainsi un accès root et prenant effectivement le contrôle de l’appareil.

Le chercheur en sécurité Zach Hanley, qui a découvert la faille, a démontré qu’un attaquant pouvait écrire un reverse shell dans un fichier exécuté régulièrement par le système. Concrètement, cela signifiait que l’attaquant pouvait obtenir un accès persistant et de haut niveau, avec la capacité de manipuler les journaux, d’échapper à la détection ou de s’infiltrer plus profondément dans le réseau.

Fortinet a réagi en recommandant une mise à jour immédiate vers les versions corrigées et en conseillant aux administrateurs de restreindre l’accès au port 7900 comme mesure provisoire. À noter : les versions cloud de FortiSIEM et la version 7.5 n’étaient pas affectées, mais de nombreuses installations anciennes sont restées vulnérables jusqu’à l’application du correctif.

Dans un bulletin connexe, Fortinet a également corrigé une autre faille critique dans sa plateforme de communication FortiFone, soulignant le jeu du chat et de la souris permanent entre les fournisseurs de sécurité d’entreprise et les acteurs malveillants.

Réflexions : le prix de la complaisance

Ce cas est un rappel brutal : même les solutions de sécurité les plus fiables peuvent receler des dangers silencieux. À mesure que les attaquants sondent toujours plus profondément la chaîne d’approvisionnement logicielle, la fenêtre entre la découverte d’une vulnérabilité et son exploitation se réduit. Pour les défenseurs, la vigilance, l’application rapide des correctifs et une segmentation rigoureuse du réseau ne sont plus optionnelles - elles sont le prix à payer pour survivre dans un monde où la prochaine brèche peut n’être qu’à un port de distance.

WIKICROOK

  • Exécution de code à distance : L’exécution de code à distance permet aux attaquants de lancer des commandes sur votre ordinateur à distance, menant souvent à une compromission totale du système et au vol de données.
  • Élévation de privilèges : L’élévation de privilèges se produit lorsqu’un attaquant obtient des droits d’accès supérieurs, passant d’un compte utilisateur standard à des privilèges administrateur sur un système ou un réseau.
  • Tâche Cron : Une tâche Cron est une tâche automatisée programmée pour s’exécuter à des horaires définis sur les systèmes de type Unix, couramment utilisée pour la maintenance ou, par les pirates, pour maintenir un accès persistant.
  • SIEM (Gestion des informations et des événements de sécurité) : Le SIEM est un logiciel qui collecte et analyse les données de sécurité à travers une organisation pour détecter les menaces et aider à gérer les incidents de cybersécurité.
  • Injection de commandes système : L’injection de commandes système est une faille de sécurité où les attaquants trompent les systèmes pour exécuter des commandes non autorisées, compromettant potentiellement les données et le contrôle.
FortiSIEM Remote Code Execution Privilege Escalation
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news