Fortinet

🗓️ Contexte Source : BleepingComputer — publié le 5 avril 2026. Fortinet a publié en urgence un correctif le week-end pour une nouvelle vulnérabilité critique affectant FortiClient Enterprise Management Server (EMS), confirmant son exploitation active dans la nature. 🔍 Détails de la vulnérabilité CVE : CVE-2026-35616 Type : Contrôle d’accès inapproprié (improper access control) — contournement d’authentification et d’autorisation en pré-authentification Impact : Permet à des attaquants non authentifiés d’exécuter du code ou des commandes via des requêtes spécialement forgées Versions affectées : FortiClient EMS 7.4.5 et 7.4.6 Versions non affectées : FortiClient EMS 7.2 Correctif disponible : Hotfix pour les versions 7.4.5 et 7.4.6 ; correction définitive prévue dans FortiClientEMS 7.4.7 🚨 Exploitation La vulnérabilité a été exploitée en zero-day avant sa divulgation à Fortinet. La société de cybersécurité Defused a observé l’exploitation active en début de semaine avant de la signaler à Fortinet via un processus de divulgation responsable. Fortinet crédite également Nguyen Duc Anh pour la découverte. ...

🔍 Contexte Article publié le 3 avril 2026 par Tammy Harper, Senior Threat Intelligence Researcher chez Flare.io, sur LinkedIn. L’article présente une analyse technique d’un outil offensif commercial nommé Pentagram, commercialisé comme solution automatisée d’acquisition de comptes VPN d’entreprise. 🛠️ Description de l’outil Pentagram est une plateforme modulaire composée d’un panel web centralisé et de workers distribués. La communication backend s’effectue via I2P pour assurer l’anonymat de l’opérateur. Les binaires distribués incluent pentagram.exe et i2pd.exe. ...

Selon un avis PSIRT de Fortinet publié le 6 février 2026, une vulnérabilité critique d’injection SQL affecte FortiClientEMS. Vulnérabilité: Injection SQL (CWE-89) dans l’interface d’administration (composant GUI), exploitable via des requêtes HTTP spécialement conçues. Impact: Exécution non autorisée de code ou de commandes (score CVSSv3 9.1 – Critique), sans authentification requise. CVE: CVE-2026-21643 | IR: FG-IR-25-1142. Produits/versions concernés: FortiClientEMS 7.4.4: affecté → corriger en 7.4.5 ou supérieur. FortiClientEMS 8.0: non affecté. FortiClientEMS 7.2: non affecté. Le 2026-02-06, FortiEMS Cloud a été retiré de la note car non affecté. Chronologie: ...

Selon Help Net Security, Fortinet a commencé à diffuser des versions de FortiOS corrigeant CVE-2026-24858, une vulnérabilité critique exploitée permettant à des attaquants de se connecter aux pare-feux FortiGate via FortiCloud SSO. • Vulnérabilité et périmètre affecté. CVE-2026-24858 est un contournement d’authentification par chemin ou canal alternatif permettant à un titulaire d’un compte FortiCloud avec un appareil enregistré de se connecter à d’autres appareils rattachés à d’autres comptes, lorsque FortiCloud SSO est activé. Les produits concernés incluent FortiOS, FortiAnalyzer et FortiManager; la mise à jour du 29 janvier ajoute FortyProxy et FortiWeb. Fortinet précise que FortiManager Cloud, FortiAnalyzer Cloud, FortiGate Cloud ne sont pas impactés, et que les configurations SSO avec fournisseur d’identité tiers (SAML), y compris FortiAuthenticator, ne sont pas affectées. ...

BleepingComputer rapporte que des attaquants exploitent un contournement de correctif pour une vulnérabilité critique d’authentification FortiGate (CVE-2025-59718), compromettant des pare-feux déjà patchés. Des administrateurs Fortinet observent des compromissions sur des FortiGate en FortiOS 7.4.9 et 7.4.10. Fortinet aurait confirmé que 7.4.10 ne corrige pas entièrement la faille, initialement annoncée comme patchée avec 7.4.9. L’éditeur prévoirait la sortie de FortiOS 7.4.11, 7.6.6 et 8.0.0 dans les prochains jours pour corriger pleinement le problème. ...

Selon Help Net Security, un code de preuve de concept (PoC) a été rendu public pour la vulnérabilité critique CVE-2025-64155 affectant la plateforme Fortinet FortiSIEM, ce qui accélère l’urgence de corriger les déploiements exposés. ⚠️ La faille permet à des attaquants non authentifiés d’exécuter du code ou des commandes non autorisés à distance via des requêtes TCP spécialement forgées. Elle cible le service phMonitor, décrit comme le « système nerveux » du SIEM, permettant d’écrire du code arbitraire dans un fichier qui est ensuite exécuté. ...

Cyber Security News rapporte début janvier 2026 que The Shadowserver Foundation a ajouté la vulnérabilité Fortinet CVE-2020-12812 à son rapport quotidien des services HTTP vulnérables, confirmant plus de 10 000 pare-feu FortiGate exposés dans le monde, alors que Fortinet a reconnu une exploitation active fin 2025. La faille CVE-2020-12812 (score CVSS 7.5 – High) affecte les portails FortiOS SSL VPN (versions 6.4.0, 6.2.0 à 6.2.3, et 6.0.9 et antérieures) et permet un contournement du MFA. Un attaquant peut se connecter en modifiant simplement la casse du nom d’utilisateur (ex. “user” → “User”) en raison d’un décalage de sensibilité à la casse entre FortiGate (utilisateurs locaux sensibles à la casse) et des serveurs LDAP tels qu’Active Directory (souvent insensibles à la casse), ce qui autorise l’authentification par appartenance à un groupe sans demander le deuxième facteur. La vulnérabilité figure depuis 2021 au catalogue CISA KEV après un usage par des acteurs de ransomware. ...

Source: Fortinet (PSIRT Blog). Fortinet indique avoir observé dans la nature l’abus de la vulnérabilité FG‑IR‑19‑283 / CVE‑2020‑12812 publiée en juillet 2020, liée à un contournement du 2FA sur FortiGate dans des configurations précises. Le problème survient lorsque FortiGate traite les noms d’utilisateurs comme sensibles à la casse par défaut, alors que le répertoire LDAP ne l’est pas. Dans un contexte où des comptes locaux FortiGate avec 2FA sont mappés à LDAP, que ces mêmes utilisateurs appartiennent à des groupes LDAP, et qu’au moins un de ces groupes est configuré dans une politique d’authentification FortiGate, une connexion avec une variante de casse du nom (ex: « JSmith » au lieu de « jsmith ») ne correspond pas au compte local et déclenche une tentative d’authentification via les autres politiques. ...

Selon l’extrait fourni, des acteurs malveillants exploitent des failles critiques dans plusieurs produits Fortinet afin d’obtenir un accès non autorisé aux comptes administrateur et de dérober des fichiers de configuration système. 🚨 Des hackers mènent une exploitation active de vulnérabilités critiques touchant plusieurs produits Fortinet. L’objectif principal est l’accès non autorisé à des comptes administrateur et le vol de fichiers de configuration. 1) Fait principal Des hackers exploitent activement deux vulnérabilités critiques affectant plusieurs produits Fortinet. Objectif : obtenir un accès administrateur et exfiltrer les fichiers de configuration système. Les attaques sont observées depuis le 12 décembre, soit quelques jours après l’alerte officielle de Fortinet (9 décembre). 2) Vulnérabilités exploitées 🔴 CVE-2025-59718 Type : contournement d’authentification FortiCloud SSO Produits affectés : FortiOS FortiProxy FortiSwitchManager Cause : mauvaise vérification cryptographique des signatures SAML Impact : connexion possible sans authentification valide via une assertion SAML malveillante 🔴 CVE-2025-59719 Type : contournement d’authentification FortiCloud SSO Produit affecté : FortiWeb Cause : faille similaire dans la validation des signatures SAML Impact : accès administrateur non authentifié via SSO forgé 📌 Les deux failles ne sont exploitables que si FortiCloud SSO est activé ⚠️ Cette option n’est pas activée par défaut, mais elle l’est automatiquement lors de l’enregistrement via FortiCare, sauf désactivation explicite. ...

Selon watchTowr Labs, une vulnérabilité non nommée et sans identifiant public affecte Fortinet FortiWeb et serait exploitée activement, signalée initialement par l’équipe Defused; des tests internes de watchTowr indiquent qu’un correctif “silencieux” semble présent en version 8.0.2, bien que les notes de version n’en fassent pas mention. L’analyse détaille une combinaison de deux failles: traversée de chemin dans l’URI de l’API FortiWeb permettant d’atteindre l’exécutable CGI interne fwbcgi, puis contournement d’authentification via l’en-tête HTTP_CGIINFO. Le composant fwbcgi effectue un contrôle d’entrée minimal (JSON valide) et une phase d’“authentification” qui, en réalité, impersonne l’utilisateur fourni par le client via un JSON Base64 (champs username, profname, vdom, loginname), conférant ensuite les privilèges correspondants dans cgi_process(). ...