Fortinet a publié un correctif d urgence pour la CVE-2026-32756, une vulnérabilité critique (CVSS 9.8) affectant FortiOS et FortiProxy. Cette faille de type buffer overflow dans le module SSL-VPN permet une exécution de code arbitraire à distance sans authentification. Des groupes APT exploitent activement cette vulnérabilité depuis au moins deux semaines, ciblant des organisations gouvernementales et des opérateurs d infrastructure critique en Europe. L ANSSI a émis une alerte CERTFR recommandant le patching immédiat de tous les équipements exposés.
Détails techniques de la CVE-2026-32756
La vulnérabilité réside dans le traitement des requêtes POST envoyées au portail SSL-VPN de FortiOS. Un attaquant non authentifié peut envoyer une requête spécialement conçue déclenchant un heap buffer overflow dans le processus sslvpnd, permettant l exécution de code avec les privilèges root.
| Attribut | Détail |
|---|---|
| CVE | CVE-2026-32756 |
| CVSS 3.1 | 9.8 (Critique) |
| Vecteur | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Produits affectés | FortiOS 7.4.0-7.4.6, 7.2.0-7.2.11, FortiProxy 7.4.0-7.4.4 |
| Correctif | FortiOS 7.4.7, 7.2.12, FortiProxy 7.4.5 |
| Exploitation | Active in-the-wild depuis mars 2026 |
Indicateurs de compromission observés
Les équipes de threat intelligence de Mandiant et Volexity ont identifié les indicateurs suivants associés à l exploitation de cette faille :
- Fichiers suspects dans
/data2/: localnet.py, sslvpnd.bak - Connexions sortantes vers des C2 hébergés sur des VPS Cloudflare Workers
- Création de comptes admin locaux avec des noms aléatoires
- Modification du fichier
/etc/init.d/sslvpndpour assurer la persistance
Action urgente
Si vous utilisez un FortiGate exposé sur Internet avec le SSL-VPN activé, appliquez immédiatement le correctif. Si le patching n est pas possible sous 24h, désactivez le portail SSL-VPN et basculez sur IPsec comme solution temporaire. Vérifiez les logs d accès admin pour détecter toute création de compte suspecte.
Recommandations de remédiation
- Patcher immédiatement vers FortiOS 7.4.7+ ou 7.2.12+
- Vérifier l intégrité : comparer les hash des fichiers système avec les versions officielles
- Analyser les logs : rechercher les connexions SSL-VPN suspectes des 30 derniers jours
- Réinitialiser les credentials : changer tous les mots de passe admin et les certificats VPN
- Scanner le réseau interne : vérifier l absence de mouvement latéral post-exploitation
Cette vulnérabilité rappelle l importance d un programme de gestion des vulnérabilités rigoureux et d une surveillance continue via un SIEM/SOC pour détecter les exploitations en temps réel.
À retenir
Les appliances VPN (Fortinet, Palo Alto, Ivanti) restent les cibles prioritaires des groupes APT en 2026. Maintenez un inventaire à jour de vos équipements exposés et appliquez les correctifs critiques sous 48h maximum.
Sources : Fortinet PSIRT | CERT-FR ANSSI
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Le CMA britannique lance une enquête sur les licences cloud Microsoft
Le CMA britannique ouvre une enquête sur les licences cloud de Microsoft, ciblant les surcoûts imposés aux clients utilisant AWS ou Google Cloud.
Google NotebookLM passe à Gemini 2.5 Flash pour le raisonnement
Google intègre Gemini 2.5 Flash dans NotebookLM, améliorant le raisonnement IA de l'outil. Application mobile prévue en mai 2026.
OpenAI teste des Skills pour ChatGPT, inspirées de Claude
OpenAI développe des Skills pour ChatGPT, des commandes slash personnalisables inspirées de Claude, marquant un tournant vers les assistants IA modulaires.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire