CVE-2026-44277 : RCE non-auth FortiAuthenticator CVSS 9.8 (FG-IR-26-128)

Les faits

Le 12 mai 2026, Fortinet a publié l'avis de sécurité FG-IR-26-128 révélant CVE-2026-44277, une vulnérabilité de contrôle d'accès inapproprié (CWE-284) affectant FortiAuthenticator, l'appliance d'authentification centralisée de la gamme Fortinet Security Fabric. Le score CVSSv3.1 est de 9.8 Critique, avec vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H : aucune authentification requise, aucune interaction utilisateur, accès réseau direct suffisant.

FortiAuthenticator est le composant d'identité central de l'écosystème Fortinet : il gère l'authentification RADIUS pour les passerelles VPN FortiGate, l'accès au réseau 802.1X pour les points d'accès FortiAP, le Single Sign-On SAML pour les applications d'entreprise, la synchronisation Active Directory et l'émission de certificats via SCEP/EST. Sa compromission ne représente pas seulement une intrusion sur un serveur isolé — elle signifie la prise de contrôle de l'ensemble de l'infrastructure d'identité et d'authentification de l'organisation.

Versions affectées : FortiAuthenticator 6.4.0 à 6.4.10 inclus, 6.5.0 à 6.5.6 (corrigé en 6.5.7), 6.6.0 à 6.6.8 (corrigé en 6.6.9), 8.0.0 à 8.0.2 (corrigé en 8.0.3). Le service FortiAuthenticator Cloud (IDaaS hébergé par Fortinet) n'est pas affecté. Des correctifs pour les branches EOL sont disponibles auprès du support Fortinet selon l'avis FG-IR-26-128.

Cause profonde (root cause) : CVE-2026-44277 résulte de l'absence d'application des contrôles d'autorisation sur certaines routes de l'API REST d'administration de FortiAuthenticator. L'appliance expose une API REST utilisée pour le provisionnement des utilisateurs, la gestion des certificats et la configuration des politiques d'authentification. Certains endpoints d'administration de niveau élevé ne valident pas si la session appelante est authentifiée et autorisée avant de traiter les commandes reçues.

Un attaquant non authentifié capable d'atteindre l'interface de gestion de FortiAuthenticator (typiquement TCP/443 ou TCP/8443 selon le déploiement) peut envoyer des requêtes HTTP spécialement forgées directement vers ces endpoints non protégés. Le gestionnaire côté serveur exécute alors des opérations privilégiées — écritures de configuration, opérations de certificats au niveau OS, création de comptes administrateurs — sans vérifier que l'appelant dispose d'une session valide. La faille est classée CWE-284 (Improper Access Control) plutôt qu'une simple vérification d'authentification manquante : l'infrastructure d'authentification existe, mais certaines routes API la contournent entièrement par conception défectueuse.

Impact d'une exploitation réussie : Un attaquant exploitant CVE-2026-44277 obtient un accès administratif complet à FortiAuthenticator, lui permettant de : créer des comptes administrateurs de porte dérobée persistants ; lire tous les journaux d'authentification incluant les noms d'utilisateurs et les patterns d'accès ; extraire les secrets partagés RADIUS stockés (exposant l'ensemble des équipements réseau dépendants — switches, firewalls, access points) ; modifier les politiques d'authentification pour affaiblir ou supprimer les contrôles MFA ciblés ; accéder à l'autorité de certification si SCEP/EST est configuré pour émettre des certificats malveillants. Sur les déploiements avec accès au système d'exploitation via certains endpoints API de configuration avancée, une injection de commandes menant à une RCE complète au niveau de l'appliance est possible.

Contexte de découverte et état d'exploitation : Contrairement à de nombreuses vulnérabilités Fortinet récentes, CVE-2026-44277 a été découverte en interne par l'équipe Fortinet PSIRT (Product Security Incident Response Team) et non par des chercheurs tiers ou via une exploitation active détectée. Aucune exploitation in-the-wild n'était confirmée au moment de la divulgation (12 mai 2026). Un dépôt GitHub référencé sous 0xBlackash/CVE-2026-44277 a cependant été créé après la divulgation, signalant l'intérêt de la communauté de recherche et l'imminence probable d'un PoC public.

Précédent historique alarmant : L'historique de Fortinet en matière d'exploitation post-divulgation impose une prudence maximale : CVE-2022-40684 (auth bypass FortiOS, CVSS 9.8) weaponisé en moins de 48 heures ; CVE-2023-27997 (heap overflow SSL-VPN, CVSS 9.8) exploité en 0-day avant le patch officiel ; CVE-2024-21762 (SSL-VPN OOB write, CVSS 9.6) ajouté au CISA KEV dès la divulgation ; CVE-2026-35616 (FortiClient EMS, CVSS 9.8) exploité activement avant même la publication de l'avis officiel. CVE-2026-44277 suit exactement le même profil de risque — CVSS 9.8, accès pré-authentification, vecteur réseau — que ses prédécesseurs qui ont tous été weaponisés en moins de 30 jours, selon les analyses de SecurityWeek et BleepingComputer.

Vulnérabilité compagne dans le même cycle de patches : Le cycle de patches Fortinet de mai 2026 comprend également CVE-2026-26083, affectant FortiSandbox et FortiSandbox Cloud/PaaS (CVSS 9.1, CWE-862 Missing Authorization, advisory FG-IR-26-136), corrigé dans FortiSandbox 4.4.9 et 5.0.2. Les organisations déployant FortiSandbox doivent traiter les deux vulnérabilités simultanément dans le même cycle de maintenance.

Impact et exposition

Toute entreprise déployant FortiAuthenticator comme passerelle RADIUS, LDAP ou SAML pour son infrastructure VPN (FortiGate/SSL-VPN), Wi-Fi (FortiAP/802.1X) ou SSO est directement exposée si l'interface de gestion est accessible depuis des segments réseau non maîtrisés ou depuis internet. Les MSSP (Managed Security Service Providers) gérant plusieurs domaines d'authentification clients depuis une interface FortiAuthenticator mutualisée sont particulièrement à risque : une compromission unique expose l'ensemble de leur portefeuille clients.

L'impact stratégique de CVE-2026-44277 dépasse largement la sévérité d'une compromission serveur classique. FortiAuthenticator étant le composant qui valide chaque demande d'accès VPN, chaque connexion Wi-Fi d'entreprise et chaque authentification SSO, un attaquant qui en prend le contrôle peut se connecter à l'infrastructure VPN avec des identifiants forgés, créer des comptes persistants indétectables par les solutions EDR, désactiver le MFA pour des comptes ciblés, et exfiltrer les secrets RADIUS pour compromettre l'ensemble des équipements réseau qui leur font confiance.

Les secteurs financiers, de la santé et des services publics utilisant Fortinet Security Fabric comme backbone de sécurité réseau sont les cibles les plus exposées. D'après CSO Online et SecurityWeek, l'interface de gestion FortiAuthenticator est fréquemment accessible sur des ports administratifs exposés dans des configurations de déploiement insuffisamment durcies, notamment dans les environnements où la gestion à distance est une priorité opérationnelle.

Recommandations immédiates

• Mettre à jour FortiAuthenticator immédiatement vers 6.5.7, 6.6.9 ou 8.0.3 selon la branche déployée — advisory : Fortinet Security Advisory FG-IR-26-128
• Restreindre l'accès à l'interface de gestion FortiAuthenticator aux seules IP d'administration de confiance via config system interface > trusted hosts, ou via local-in-policy FortiGate si FortiAuthenticator est en aval d'un pare-feu
• Désactiver l'interface web de gestion si la gestion CLI exclusive est possible en attendant l'application du patch
• Activer les alertes FortiGate Security Fabric pour détecter les patterns d'authentification anormaux provenant de FortiAuthenticator ou à destination des ressources protégées par RADIUS
• Auditer les journaux FortiAuthenticator pour identifier toute création de compte administrateur ou modification de politique d'authentification depuis le 12 mai 2026
• Patcher simultanément CVE-2026-26083 dans FortiSandbox (4.4.9 ou 5.0.2) — advisory FG-IR-26-136
• Indicateurs de compromission : nouveaux comptes administrateurs FortiAuthenticator non reconnus dans les logs, modifications des politiques MFA, secrets RADIUS modifiés, connexions VPN depuis des adresses IP inconnues avec des comptes valides, certificats émis non autorisés