Netcrook Logo
👤 KERNELWATCHER
🗓️ 16 Jan 2026  

Fortinet Firestorm : des hackers lancent des attaques en exploitant une faille non corrigée de FortiSIEM

Une vulnérabilité critique de FortiSIEM est désormais activement exploitée, mettant en danger les réseaux du monde entier alors que les attaquants prennent de vitesse les correctifs.

Dans le monde à haut risque de la cybersécurité d’entreprise, une nouvelle tempête se prépare - cette fois, au cœur de la plateforme FortiSIEM de Fortinet. Alors que les défenseurs s’empressent de corriger une faille critique, les hackers ont saisi l’opportunité, lançant des attaques réelles qui menacent de compromettre certains des réseaux les plus sensibles au monde. Le compte à rebours est lancé, et le jeu du chat et de la souris n’a jamais été aussi intense.

Au cœur de l’exploit : comment les hackers s’introduisent

La vulnérabilité, référencée sous CVE-2025-64155, est un mélange dangereux de deux problèmes : une neutralisation incorrecte des éléments spéciaux dans les commandes système (connue sous le nom d’injection de commandes OS) et une élévation de privilèges. Ensemble, ces failles permettent aux attaquants d’écrire des données arbitraires avec des permissions administrateur et, au final, d’élever leur accès jusqu’à root - le compte le plus puissant sur tout système Linux.

Selon Zach Hanley de Horizon3.ai, qui a signalé le problème en premier, des dizaines de gestionnaires de commandes du service phMonitor de FortiSIEM sont exposés à Internet. Pire encore, ils sont accessibles à distance - sans aucune authentification requise. Les attaquants peuvent envoyer des requêtes TCP spécialement conçues pour injecter des arguments malveillants, écrasant des fichiers critiques comme /opt/charting/redishb.sh et exécutant le code de leur choix.

Fortinet a publié en urgence des correctifs pour les versions concernées (6.7 à 7.5), mais avec un code de preuve de concept déjà en circulation en ligne, les acteurs malveillants n’ont pas perdu de temps. Defused, une société de renseignement sur les menaces, a confirmé que ses honeypots observent des tentatives d’exploitation ciblées - preuve que des attaques réelles sont en cours.

Pour les organisations ne pouvant pas appliquer immédiatement les correctifs, Fortinet recommande de restreindre l’accès au port phMonitor (7900) comme mesure temporaire. Mais il ne s’agit que d’une solution de fortune. Les défenseurs sont invités à examiner leurs fichiers /opt/phoenix/log/phoenix.logs à la recherche de signes révélateurs de compromission - en particulier, des URLs de payloads suspects signalés par des entrées PHL_ERROR.

Implications plus larges : la sécurité de Fortinet sous pression

Ce n’est pas la première fois que Fortinet est confronté à des vulnérabilités de haut niveau. Ces derniers mois, des attaquants ont exploité plusieurs failles zero-day dans FortiWeb et FortiOS, y compris des opérations liées au groupe chinois Volt Typhoon. Le schéma est clair : dès qu’une faille est découverte - ou même avant qu’elle ne soit largement corrigée - les attaquants sont prêts à frapper.

Avec FortiSIEM déployé dans les gouvernements, la défense et les infrastructures critiques, les enjeux sont énormes. Chaque heure sans correctif est une invitation ouverte aux cybercriminels, et la fenêtre de défense se referme rapidement.

Conclusion : la course contre la montre

Le bug FortiSIEM rappelle crûment qu’en cybersécurité, il n’existe aucun moment sûr. À mesure que le code d’exploitation se propage et que les attaquants sondent les failles, les défenseurs doivent agir vite - corriger les systèmes, surveiller les journaux et rester vigilants. Dans les tranchées numériques, le retard équivaut à la défaite.

WIKICROOK

  • Injection de commandes OS : L’injection de commandes OS est une faille de sécurité où des attaquants trompent les systèmes pour exécuter des commandes non autorisées, compromettant potentiellement les données et le contrôle.
  • Élévation de privilèges : L’élévation de privilèges se produit lorsqu’un attaquant obtient un accès de niveau supérieur, passant d’un compte utilisateur standard à des privilèges administrateur sur un système ou un réseau.
  • Preuve de concept : Une preuve de concept (PoC) est une démonstration montrant qu’une vulnérabilité de cybersécurité peut être exploitée, aidant à valider et évaluer les risques réels.
  • Accès root : L’accès root est le niveau de contrôle le plus élevé sur un système, permettant des modifications, suppressions ou accès sans restriction à tous les fichiers et paramètres d’un appareil.
  • Honeypot : Un honeypot est un faux système mis en place pour attirer les cyberattaquants, permettant aux organisations d’étudier les méthodes d’attaque sans mettre en danger les actifs réels.
Fortinet cybersecurity vulnerability
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news