TL;DR — En résumé
Alerte CVE-2026-32756 Fortinet : faille critique CVSS 9.8 exploitée activement. Correctif, IOC et remédiation.
Fortinet a publié un correctif d urgence pour la CVE-2026-32756, une vulnérabilité critique (CVSS 9.8) affectant FortiOS et FortiProxy. Cette faille de type buffer overflow dans le module SSL-VPN permet une exécution de code arbitraire à distance sans authentification. Des groupes APT exploitent activement cette vulnérabilité depuis au moins deux semaines, ciblant des organisations gouvernementales et des opérateurs d infrastructure critique en Europe. L ANSSI a émis une alerte CERTFR recommandant le patching immédiat de tous les équipements exposés.
Détails techniques de la CVE-2026-32756
La vulnérabilité réside dans le traitement des requêtes POST envoyées au portail SSL-VPN de FortiOS. Un attaquant non authentifié peut envoyer une requête spécialement conçue déclenchant un heap buffer overflow dans le processus sslvpnd, permettant l exécution de code avec les privilèges root.
| Attribut | Détail |
|---|---|
| CVE | CVE-2026-32756 |
| CVSS 3.1 | 9.8 (Critique) |
| Vecteur | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Produits affectés | FortiOS 7.4.0-7.4.6, 7.2.0-7.2.11, FortiProxy 7.4.0-7.4.4 |
| Correctif | FortiOS 7.4.7, 7.2.12, FortiProxy 7.4.5 |
| Exploitation | Active in-the-wild depuis mars 2026 |
Indicateurs de compromission observés
Les équipes de threat intelligence de Mandiant et Volexity ont identifié les indicateurs suivants associés à l exploitation de cette faille :
- Fichiers suspects dans
/data2/: localnet.py, sslvpnd.bak - Connexions sortantes vers des C2 hébergés sur des VPS Cloudflare Workers
- Création de comptes admin locaux avec des noms aléatoires
- Modification du fichier
/etc/init.d/sslvpndpour assurer la persistance
Action urgente
Si vous utilisez un FortiGate exposé sur Internet avec le SSL-VPN activé, appliquez immédiatement le correctif. Si le patching n est pas possible sous 24h, désactivez le portail SSL-VPN et basculez sur IPsec comme solution temporaire. Vérifiez les logs d accès admin pour détecter toute création de compte suspecte.
Recommandations de remédiation
- Patcher immédiatement vers FortiOS 7.4.7+ ou 7.2.12+
- Vérifier l intégrité : comparer les hash des fichiers système avec les versions officielles
- Analyser les logs : rechercher les connexions SSL-VPN suspectes des 30 derniers jours
- Réinitialiser les credentials : changer tous les mots de passe admin et les certificats VPN
- Scanner le réseau interne : vérifier l absence de mouvement latéral post-exploitation
Cette vulnérabilité rappelle l importance d un programme de gestion des vulnérabilités rigoureux et d une surveillance continue via un SIEM/SOC pour détecter les exploitations en temps réel.
À retenir
Les appliances VPN (Fortinet, Palo Alto, Ivanti) restent les cibles prioritaires des groupes APT en 2026. Maintenez un inventaire à jour de vos équipements exposés et appliquez les correctifs critiques sous 48h maximum.
Sources : Fortinet PSIRT | CERT-FR ANSSI
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
JadePuffer : le premier ransomware piloté par LLM autonome frappe en 31 secondes
JadePuffer est le premier ransomware entièrement opéré par un agent LLM autonome. En 31 secondes, il a enchâîné CVE-2025-3248 (Langflow) et CVE-2021-29441 (Nacos) pour chiffrer 1 342 configurations via MySQL AES_ENCRYPT() — avec un défaut de stockage de clé rendant les données potentiellement irrécupérables.
FortiBleed : 430 000 FortiGate ciblés, INC Ransom et Lynx déploient un sniffer de credentials
La campagne FortiBleed a ciblé plus de 430 000 pare-feux FortiGate via des vulnérabilités FortiOS. Les groupes INC Ransom et Lynx ont déployé un sniffer interceptant les credentials VPN, avec 12 déploiements ransomware confirmés et 354 environnements intégralement compromis jusqu’au domain admin.
CVE-2026-45659 : RCE SharePoint activement exploitée, Storm-2603 déploie Warlock
Une RCE CVSS 8.8 dans Microsoft SharePoint Server est activement exploitée par Storm-2603 pour déployer le ransomware Warlock. Patch disponible depuis mai 2026, deadline CISA expirée, plus de 10 000 serveurs toujours exposés.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire