Faille zero-day Fortinet : les instances FortiVoice ciblées par des attaques !
Les utilisateurs des solutions Fortinet sont une nouvelle fois menacés par une vague de cyberattaques ! Cette fois-ci, c'est une vulnérabilité zero-day découverte dans plusieurs produits, dont FortiVoice, FortiMail et FortiCamera, qui est exploitée. Faisons le point.
Sommaire
CVE-2025-32756 : une faille dans les produits Fortinet
La faille de sécurité en question, associée à la référence CVE-2025-32756, est une vulnérabilité de type dépassement de tampon dans la pile (stack-based overflow). Elle n'affecte pas les firewalls FortiGate, ni même FortiProxy, mais d'autres solutions de Fortinet : FortiVoice, FortiMail, FortiNDR, FortiRecorder et FortiCamera. Par exemple, FortiVoice est une solution de communication, tandis que FortiMail est une solution de protection des e-mails.
La nouvelle faille peut être exploitée par un attaquant distant non authentifié pour exécuter du code arbitraire via des requêtes HTTP spécialement conçues. Associée à un score CVSS de 9.6 sur 10, elle est considérée comme critique et représente un risque important.
Cette vulnérabilité a été détectée par l’équipe sécurité produit de Fortinet après l’analyse d’activités suspectes, dont des scans réseau, la suppression de journaux système et l’activation anormale du paramètre fcgi debugging sur certains appareils. Cette option n’étant pas activée par défaut, cela en devient un indicateur de compromission...Car, il y a des attaques !
Des attaques actives et des mesures d’urgence recommandées
L'éditeur Fortinet indique que cette vulnérabilité est activement exploitée, en tant que faille zero-day. À ce jour, les exploitations constatées concernent uniquement la solution FortiVoice.
Selon le bulletin de sécurité publié mardi par Fortinet, les attaquants ont utilisé cette vulnérabilité pour installer des malwares, créer des tâches planifiées (cron jobs) visant à voler des identifiants, et déployer des scripts d’analyse réseau sur les équipements compromis. Le vol d'identifiants peut notamment être effectué suite à l'activation du paramètre fcgi debugging.
D'ailleurs, Fortinet a également identifié 6 adresses IP utilisées par les cybercriminels pour lancer les attaques :
- 198.105.127[.]124
- 43.228.217[.]173
- 43.228.217[.]82
- 156.236.76[.]90
- 218.187.69[.]244
- 218.187.69[.]59
Si vous utilisez une solution vulnérable, sachez que vous pouvez vérifier si votre système a été compromis en exécutant la commande suivante :
diag debug application fcgiSi le résultat contient general to-file ENABLED, cela indique que le paramètre de débogage a été activé – un signe préoccupant...
Quelles sont les versions affectées ? Comment se protéger ?
La meilleure façon de se protéger de la faille CVE-2025-32756 est d'installer le nouveau correctif de sécurité publié par Fortinet. Voici un tableau récapitulatif :
| Version | Versions affectées | Solution |
|---|---|---|
| FortiCamera 2.1 | 2.1.0 à 2.1.3 | Mettre à jour vers 2.1.4 ou supérieur |
| FortiCamera 2.0 | 2.0 - toutes les versions | Migrer vers une version corrigée |
| FortiCamera 1.1 | 1.1 - toutes les versions | Migrer vers une version corrigée |
| FortiMail 7.6 | 7.6.0 à 7.6.2 | Mettre à jour vers 7.6.3 ou supérieur |
| FortiMail 7.4 | 7.4.0 à 7.4.4 | Mettre à jour vers 7.4.5 ou supérieur |
| FortiMail 7.2 | 7.2.0 à 7.2.7 | Mettre à jour vers 7.2.8 ou supérieur |
| FortiMail 7.0 | 7.0.0 à 7.0.8 | Mettre à jour vers 7.0.9 ou supérieur |
| FortiNDR 7.6 | 7.6.0 | Mettre à jour vers 7.6.1 ou supérieur |
| FortiNDR 7.4 | 7.4.0 à 7.4.7 | Mettre à jour vers 7.4.8 ou supérieur |
| FortiNDR 7.2 | 7.2.0 à 7.2.4 | Mettre à jour vers 7.2.5 ou supérieur |
| FortiNDR 7.1 | 7.1 - toutes les versions | Migrer vers une version corrigée |
| FortiNDR 7.0 | 7.0.0 à 7.0.6 | Mettre à jour vers 7.0.7 ou supérieur |
| FortiNDR 1.5 | 1.5 - toutes les versions | Migrer vers une version corrigée |
| FortiNDR 1.4 | 1.4 - toutes les versions | Migrer vers une version corrigée |
| FortiNDR 1.3 | 1.3 - toutes les versions | Migrer vers une version corrigée |
| FortiNDR 1.2 | 1.2 - toutes les versions | Migrer vers une version corrigée |
| FortiNDR 1.1 | 1.1 - toutes les versions | Migrer vers une version corrigée |
| FortiRecorder 7.2 | 7.2.0 à 7.2.3 | Migrer vers 7.2.4 ou supérieur |
| FortiRecorder 7.0 | 7.0.0 à 7.0.5 | Migrer vers 7.0.6 ou supérieur |
| FortiRecorder 6.4 | 6.4.0 à 6.4.5 | Migrer vers 6.4.6 ou supérieur |
| FortiVoice 7.2 | 7.2.0 | Migrer vers 7.2.1 ou supérieur |
| FortiVoice 7.0 | 7.0.0 à 7.0.6 | Migrer vers 7.0.7 ou supérieur |
| FortiVoice 6.4 | 6.4.0 à 6.4.10 | Migrer vers 6.4.11 ou supérieur |
Pour les clients ne pouvant pas installer les mises à jour de sécurité dans l'immédiat, Fortinet recommande de désactiver l’interface d’administration HTTP/HTTPS sur les appareils vulnérables.
Vous pouvez aussi retrouver le bulletin du CERT-FR à ce sujet.
