En bref

  • Fortinet publie 11 correctifs de sécurité le 14 avril 2026, dont 2 failles critiques dans FortiAnalyzer Cloud et FortiManager Cloud.
  • CVE-2026-22828 (heap overflow, non authentifié) permet l'exécution de code à distance sur FortiAnalyzer/FortiManager versions 7.6.2 à 7.6.4.
  • Patch immédiat recommandé — les appliances Fortinet restent des cibles privilégiées des attaquants.

Les faits

Fortinet a publié le 14 avril 2026 une série de 11 avis de sécurité couvrant des vulnérabilités dans FortiSandbox, FortiOS, FortiAnalyzer, FortiManager, FortiPAM, FortiProxy et FortiSwitchManager. Parmi ces failles, deux sont classées critiques, deux sont de sévérité haute, et sept sont de sévérité moyenne ou basse. Le bulletin le plus préoccupant concerne CVE-2026-22828 (FG-IR-26-121), un heap-based buffer overflow dans le démon oftpd de FortiAnalyzer Cloud et FortiManager Cloud.

Cette vulnérabilité critique affecte les versions 7.6.2 à 7.6.4 et permet à un attaquant distant non authentifié d'exécuter du code arbitraire ou de provoquer un déni de service sur l'appliance cible. Aucune interaction utilisateur n'est requise. Les autres failles notables incluent CVE-2025-61624 (FG-IR-26-122), un path traversal affectant le CLI de FortiOS, FortiPAM, FortiProxy et FortiSwitchManager, et CVE-2025-53847 (FG-IR-26-125), un défaut d'authentification dans le démon CAPWAP de FortiOS accessible depuis le réseau interne.

Impact et exposition

FortiAnalyzer et FortiManager sont des composants centraux de l'infrastructure de sécurité Fortinet : ils agrègent les logs, gèrent les politiques et orchestrent les réponses. Compromettre ces systèmes donne à un attaquant une visibilité complète sur l'architecture réseau défendue et la capacité de désactiver ou modifier les règles de sécurité. Les versions Cloud étant exposées sur Internet par nature, la surface d'attaque est maximale.

Les vulnérabilités de path traversal dans FortiOS, bien que nécessitant une authentification, restent dangereuses dans un contexte post-compromission : un attaquant ayant obtenu des identifiants (par phishing ou brute force) peut les exploiter pour élever ses privilèges ou exfiltrer des configurations sensibles.

Recommandations

  • Mettre à jour FortiAnalyzer Cloud et FortiManager Cloud au-delà de la version 7.6.4 immédiatement — consulter le portail PSIRT de Fortinet pour les versions corrigées exactes.
  • Appliquer les correctifs FortiOS, FortiPAM, FortiProxy et FortiSwitchManager selon les avis FG-IR-26-122 et FG-IR-26-125.
  • Auditer les accès administrateurs sur vos appliances Fortinet — révoquer les comptes inutilisés et imposer l'authentification multifacteur.
  • Segmenter le réseau de management : les interfaces d'administration Fortinet ne doivent jamais être exposées directement sur Internet.

Les produits Fortinet continuent d'être des cibles de choix pour les attaquants. Le zero-day FortiClient EMS CVE-2026-35616 exploité activement et l'injection SQL FortiClient EMS CVE-2026-21643 récemment ajoutée au KEV CISA illustrent cette pression constante. Notre analyse sur les appliances réseau comme maillon faible de la cybersécurité s'applique parfaitement ici. Le Patch Tuesday d'avril 2026 confirme que tous les éditeurs majeurs font face à un volume de failles sans précédent.

Comment vérifier la version de mon FortiAnalyzer et appliquer le correctif ?

Connectez-vous à l'interface d'administration de votre FortiAnalyzer, puis accédez à System > Dashboard pour consulter la version firmware. Si vous êtes en 7.6.2, 7.6.3 ou 7.6.4, vous êtes vulnérable à CVE-2026-22828. Téléchargez le firmware corrigé depuis le portail de support Fortinet et planifiez la mise à jour en dehors des heures de production. Pour les instances Cloud, vérifiez avec Fortinet si la mise à jour a été appliquée automatiquement.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit