CVE-2026-44277 : RCE non-auth FortiAuthenticator (9.1)

Les faits

CVE-2026-44277 est une vulnérabilité critique d'exécution de code à distance non authentifiée affectant Fortinet FortiAuthenticator, la solution Identity and Access Management (IAM) de l'éditeur. La faille porte un score CVSSv3.1 de 9.1 et la classification CWE-284 (Improper Access Control) — autrement dit, un défaut d'autorisation sur certains endpoints API du produit. Selon l'advisory FortiGuard PSIRT FG-IR-26-128, un attaquant distant non authentifié peut exécuter du code ou des commandes non autorisées en envoyant des requêtes spécialement formées au système.

La vulnérabilité a été divulguée par Fortinet le 13 mai 2026 dans le cadre d'un cycle de publications coordonné couvrant 11 advisories distincts, dont trois critiques. CVE-2026-44277 figure parmi les plus sévères de la fournée et reçoit une attention particulière du fait que FortiAuthenticator joue un rôle central dans les architectures Zero Trust : authentification multi-facteur, fédération d'identité, RADIUS, SAML, gestion de certificats clients, intégration FortiGate. Compromettre FortiAuthenticator équivaut à compromettre la racine de confiance d'identité d'un environnement Fortinet.

Sur le plan technique, la faille relève d'une absence de vérification d'autorisation sur plusieurs endpoints API exposés par le service web de l'appliance. D'après les analyses publiées par BleepingComputer et CSO Online, les contrôles d'accès reposaient sur des hypothèses implicites : certains handlers supposaient avoir été appelés depuis une chaîne déjà authentifiée, sans revérifier le contexte. Un attaquant capable d'atteindre directement ces endpoints sans passer par la chaîne attendue contourne donc l'authentification et déclenche les actions privilégiées exposées par l'API — incluant l'exécution de commandes système sur l'appliance.

D'après le détail NVD/NIST publié pour CVE-2026-44277, l'exploitation requiert uniquement l'accès réseau à l'interface administrative ou à l'interface API exposée. Il n'y a ni prérequis d'authentification, ni interaction utilisateur, ni condition de course : c'est une faille de contrôle d'accès directe et déterministe. Les versions concernées couvrent l'intégralité des branches stables livrées avant le 13 mai 2026 : FortiAuthenticator 6.5.0 à 6.5.6, 6.6.0 à 6.6.8, et 8.0.0 à 8.0.2. Les correctifs respectifs sont 6.5.7, 6.6.9 et 8.0.3.

Fortinet précise dans son communiqué — relayé par SecurityAffairs et TechNadu — que la vulnérabilité a été découverte en interne par les équipes Fortinet, et qu'au moment de la publication aucune exploitation in-the-wild n'avait été observée. Néanmoins, le profil de la faille (RCE pré-authentification, surface API exposée, produit critique très répandu dans les architectures d'authentification) la rend hautement susceptible d'être armée rapidement après publication. Les équipes de threat intelligence ont déjà observé un pic de scans à la recherche d'instances FortiAuthenticator exposées depuis le 14 mai 2026.

Le service FortiAuthenticator Cloud (anciennement FortiTrust Identity), version IDaaS hébergée et gérée par Fortinet, n'est pas affecté par CVE-2026-44277 — Fortinet a confirmé que les correctifs ont été appliqués sur l'infrastructure cloud avant même la divulgation publique. Cette information rassure les clients utilisant uniquement l'offre managée, mais ne dispense pas les déploiements on-premises et appliance virtuelle (VM) d'un patch prioritaire.

Aux côtés de CVE-2026-44277, Fortinet a publié dans le même cycle un autre RCE critique CVE-2026-39808 affectant FortiSandbox (déjà couvert dans une précédente alerte CVE), portant la fournée de mai 2026 à un volume inhabituel de correctifs critiques touchant la stack Identity et Sandbox. Les organisations Fortinet doivent donc traiter le cycle de patch de mai 2026 dans son ensemble, et pas seulement la CVE individuelle.

D'après l'analyse de RunZero publiée le 14 mai 2026, plusieurs milliers d'instances FortiAuthenticator exposent leur interface de management directement sur Internet (port HTTPS standard) — ce qui constitue une exposition immédiate et exploitable dès qu'un PoC public sera diffusé. La pratique d'exposition publique de FortiAuthenticator est généralement liée à des cas d'usage SAML/OIDC où l'IdP doit être joignable depuis les SP externes, mais ne devrait jamais inclure l'accès API d'administration.

Impact et exposition

Les organisations exposées sont toutes celles déployant FortiAuthenticator on-premises ou en VM, particulièrement dans des architectures Fortinet centralisées où FortiAuthenticator pilote l'authentification MFA, SAML/OIDC et RADIUS de l'ensemble des FortiGate, FortiSwitch, FortiAP, FortiManager. Une compromission de FortiAuthenticator permet l'émission de tokens d'authentification arbitraires, la manipulation des politiques MFA, et la création de comptes administrateurs persistants sur la racine de confiance d'identité.

L'exposition s'étend à toute infrastructure Zero Trust reposant sur FortiAuthenticator comme IdP — accès VPN SSL/IPsec, accès ZTNA via FortiClient, applications fédérées SAML, ressources cloud configurées avec FortiAuthenticator en SAML IdP. Le pivot d'un attaquant qui contrôle FortiAuthenticator vers les ressources protégées en aval est immédiat : il signe lui-même les assertions d'identité acceptées par les SP.

Le facteur aggravant est la pratique d'exposition Internet : RunZero estime plusieurs milliers d'instances directement joignables. Un attaquant opportuniste scannant Internet pour des FortiAuthenticator vulnérables peut donc construire en quelques jours une liste d'organisations exploitables. Les ransomwares opérant en ciblage d'opportunité ont historiquement intégré rapidement les CVE Fortinet à leurs chaînes d'attaque (cas FortiOS 2023-2025, FortiClient EMS début 2026).

Même en l'absence d'exploitation in-the-wild documentée au moment de l'écriture, l'historique des CVE Fortinet de cette criticité montre une fenêtre typique de 3 à 7 jours entre publication d'advisory et apparition d'exploitation massive. Les CISO doivent donc planifier le patch dans la semaine, et idéalement dans les 48 heures pour les instances exposées publiquement.

Recommandations immédiates

• Mettre à jour FortiAuthenticator vers 6.5.7, 6.6.9 ou 8.0.3 selon la branche déployée — advisory de référence : FortiGuard PSIRT FG-IR-26-128.
• À défaut de patch immédiat, appliquer la mitigation officielle Fortinet : désactiver l'accès API pour les interfaces exposées via Network → Interfaces → Access Rights, en ne laissant l'API que sur l'interface de management interne.
• Retirer immédiatement l'exposition Internet de l'interface d'administration FortiAuthenticator si elle n'est pas indispensable — préférer un accès via VPN ou bastion administré.
• Auditer les comptes administrateurs et utilisateurs FortiAuthenticator pour détecter toute création inattendue, et examiner les logs des endpoints API à la recherche de requêtes anormales sur les routes administratives.
• Faire tourner les secrets sensibles stockés dans FortiAuthenticator après patch (clés de signature SAML, secrets RADIUS partagés, certificats de fédération) en partant du principe que l'environnement a pu être probé.
• Surveiller les flux entrants vers les IP FortiAuthenticator depuis le 14 mai 2026 — un pic de scans recherchant des instances vulnérables est en cours selon les TI publiques.
• Traiter en parallèle les autres CVE critiques du cycle Fortinet mai 2026, notamment CVE-2026-39808 (FortiSandbox RCE non-auth) déjà publiée.