Fortinet a publié un correctif d urgence pour la CVE-2026-32756, une vulnérabilité critique (CVSS 9.8) affectant FortiOS et FortiProxy. Cette faille de type buffer overflow dans le module SSL-VPN permet une exécution de code arbitraire à distance sans authentification. Des groupes APT exploitent activement cette vulnérabilité depuis au moins deux semaines, ciblant des organisations gouvernementales et des opérateurs d infrastructure critique en Europe. L ANSSI a émis une alerte CERTFR recommandant le patching immédiat de tous les équipements exposés.
Détails techniques de la CVE-2026-32756
La vulnérabilité réside dans le traitement des requêtes POST envoyées au portail SSL-VPN de FortiOS. Un attaquant non authentifié peut envoyer une requête spécialement conçue déclenchant un heap buffer overflow dans le processus sslvpnd, permettant l exécution de code avec les privilèges root.
| Attribut | Détail |
|---|---|
| CVE | CVE-2026-32756 |
| CVSS 3.1 | 9.8 (Critique) |
| Vecteur | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Produits affectés | FortiOS 7.4.0-7.4.6, 7.2.0-7.2.11, FortiProxy 7.4.0-7.4.4 |
| Correctif | FortiOS 7.4.7, 7.2.12, FortiProxy 7.4.5 |
| Exploitation | Active in-the-wild depuis mars 2026 |
Indicateurs de compromission observés
Les équipes de threat intelligence de Mandiant et Volexity ont identifié les indicateurs suivants associés à l exploitation de cette faille :
- Fichiers suspects dans
/data2/: localnet.py, sslvpnd.bak - Connexions sortantes vers des C2 hébergés sur des VPS Cloudflare Workers
- Création de comptes admin locaux avec des noms aléatoires
- Modification du fichier
/etc/init.d/sslvpndpour assurer la persistance
Action urgente
Si vous utilisez un FortiGate exposé sur Internet avec le SSL-VPN activé, appliquez immédiatement le correctif. Si le patching n est pas possible sous 24h, désactivez le portail SSL-VPN et basculez sur IPsec comme solution temporaire. Vérifiez les logs d accès admin pour détecter toute création de compte suspecte.
Recommandations de remédiation
- Patcher immédiatement vers FortiOS 7.4.7+ ou 7.2.12+
- Vérifier l intégrité : comparer les hash des fichiers système avec les versions officielles
- Analyser les logs : rechercher les connexions SSL-VPN suspectes des 30 derniers jours
- Réinitialiser les credentials : changer tous les mots de passe admin et les certificats VPN
- Scanner le réseau interne : vérifier l absence de mouvement latéral post-exploitation
Cette vulnérabilité rappelle l importance d un programme de gestion des vulnérabilités rigoureux et d une surveillance continue via un SIEM/SOC pour détecter les exploitations en temps réel.
À retenir
Les appliances VPN (Fortinet, Palo Alto, Ivanti) restent les cibles prioritaires des groupes APT en 2026. Maintenez un inventaire à jour de vos équipements exposés et appliquez les correctifs critiques sous 48h maximum.
Sources : Fortinet PSIRT | CERT-FR ANSSI
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
West Pharmaceutical : vol de données et usines à l'arrêt
West Pharmaceutical Services a confirmé le 7 mai 2026 avoir subi une cyberattaque avec exfiltration de données et chiffrement de systèmes, perturbant les opérations de production mondiales.
DevOps 2026 : 29 M secrets hardcodés et OSS sous pression
Le rapport DevOps Threats 2026 alerte sur 29 millions de secrets hardcodés exposés en 2025 (+34 %) et 581 vulnérabilités open source par application en moyenne, soit le double de l'année précédente.
Google Gemini 3.5 Flash GA : frontier-level à 4x la vitesse
Google a lancé Gemini 3.5 Flash en disponibilité générale le 19 mai 2026 lors de Google I/O : un modèle 4x plus rapide que les frontier comparables qui surpasse Gemini 3.1 Pro sur les benchmarks agents et codage.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire