SSL VPN

Cyber Security News rapporte début janvier 2026 que The Shadowserver Foundation a ajouté la vulnérabilité Fortinet CVE-2020-12812 à son rapport quotidien des services HTTP vulnérables, confirmant plus de 10 000 pare-feu FortiGate exposés dans le monde, alors que Fortinet a reconnu une exploitation active fin 2025. La faille CVE-2020-12812 (score CVSS 7.5 – High) affecte les portails FortiOS SSL VPN (versions 6.4.0, 6.2.0 à 6.2.3, et 6.0.9 et antérieures) et permet un contournement du MFA. Un attaquant peut se connecter en modifiant simplement la casse du nom d’utilisateur (ex. “user” → “User”) en raison d’un décalage de sensibilité à la casse entre FortiGate (utilisateurs locaux sensibles à la casse) et des serveurs LDAP tels qu’Active Directory (souvent insensibles à la casse), ce qui autorise l’authentification par appartenance à un groupe sans demander le deuxième facteur. La vulnérabilité figure depuis 2021 au catalogue CISA KEV après un usage par des acteurs de ransomware. ...

Source: Cisco Security Advisory (sec.cloudapps.cisco.com). Cisco publie un avis sur une vulnérabilité d’exécution de code à distance (RCE) via des services web/SSL impactant plusieurs familles de produits lorsque certaines fonctionnalités sont activées, et fournit des commandes pour déterminer si un équipement est exposé. Produits affectés (selon configuration) et identifiants internes: Secure Firewall ASA/FTD (CSCwo18850), IOS avec Remote Access SSL VPN activé (CSCwo35704), IOS XE avec Remote Access SSL VPN activé (CSCwo35704, CSCwo35779), et IOS XR 32-bit sur routeurs ASR 9001 avec HTTP server activé (CSCwo49562). Cisco NX-OS n’est pas affecté. ...

Selon ZenSec (blog), ce brief synthétise plus de 16 dossiers DFIR sur le groupe de rançongiciel Akira ayant frappé le Royaume‑Uni depuis 2023 (retail, finance, manufacturing, médical). Le groupe, proche de Conti par ses méthodes, opère en double extorsion (vol de données puis chiffrement), avec des attaques « playbook » standardisées. 🚪 Accès initial et découverte: Akira cible en priorité les SSL VPN d’Cisco ASA, SonicWall et WatchGuard, exploitant l’absence de MFA et des CVE comme CVE‑2023‑20269, CVE‑2020‑3259 et CVE‑2024‑40766. La découverte s’appuie sur Netscan (31%), Advanced Port Scanner (25%), Advanced IP Scanner, ainsi que des énumérations PowerShell d’Active Directory (fichiers AdUsers/AdComputers/AdGroups, etc.). Plus rarement, PowerView, SharpShares, Grixba, PingCastle, SharpHound et RvTools sont utilisés. ...

Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnérabilités critiques SSL‑VPN permettant une exécution de code à distance sans authentification, avec un enchaînement allant de la compromission initiale à l’escalade de privilèges et à l’accès RDP. • Vulnérabilités exploitées et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dépassement de tampon sur le tas) et CVE‑2024‑21762 (écriture hors limites dans le démon sslvpnd) sont utilisées pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accéder de façon non autorisée à des FortiGate. ...

Source: GreyNoise — Dans un billet d’analyse, GreyNoise signale un pic significatif de tentatives de bruteforce visant les VPN SSL Fortinet, avec plus de 780 IPs uniques observées en une seule journée, le volume le plus élevé depuis plusieurs mois. Deux vagues d’attaque ont été identifiées: une campagne continue et une poussée concentrée débutée le 5 août, chacune présentant des signatures TCP distinctes. À l’aide du fingerprinting JA4+, les chercheurs ont suivi une évolution des cibles allant de FortiOS vers FGFM (FortiManager). ...

Selon Arctic Wolf (Arctic Wolf Labs), fin juillet 2025, une hausse d’activité liée au ransomware a ciblé des pare‑feu SonicWall, en particulier via les SSL VPN, pour obtenir l’accès initial. 🚨 Les analystes ont observé plusieurs intrusions pré‑ransomware rapprochées, chacune impliquant un accès VPN via les SSL VPN SonicWall. Bien que des voies de compromission par brute force, attaques par dictionnaire ou credential stuffing n’aient pas été formellement exclues dans tous les cas, les éléments disponibles pointent vers l’existence d’une vulnérabilité zero‑day. 🕳️ ...

Le Cyber Fusion Center de Kudelski Security a signalé une exploitation active d’une vulnérabilité zero-day dans les appareils SonicWall Gen 7 SSL-VPN par des affiliés du ransomware Akira. Cette vulnérabilité permet de contourner l’authentification et la MFA sur des appareils entièrement patchés, offrant ainsi un accès direct au réseau. Des intrusions confirmées ont eu lieu en Amérique du Nord et en Europe, entraînant le vol de données d’identification, la désactivation d’outils de sécurité, et le déploiement de ransomware. ...