Fortinet révèle une seconde vulnérabilité de contournement de l’authentification

Fortinet a révélé mardi la CVE-2025-24472, une nouvelle vulnérabilité de contournement de l’authentification présente dans certaines versions de FortiOS et FortiProxy, dans un avis qui a d’abord semé la confusion dans la communauté de la cybersécurité.

Cette nouvelle vulnérabilité n’a ainsi pas été dévoilée dans un avis dédié, mais a été ajoutée à l’avis de l’équipementier pour la CVE-2024-55591, une vulnérabilité inédite similaire divulguée et corrigée le mois dernier qui affecte FortiOS versions 7.0.0 à 7.0.16, FortiProxy versions 7.0.0 à 7.0.19, et FortiProxy versions 7.2.0 à 7.2.12. La CVE-2024-55591 peut permettre à « un attaquant distant non authentifié de contourner le mécanisme d’authentification de l’interface d’administration d’un équipement FortiOS ou FortiProxy et d’obtenir des privilèges de super administrateur via l’envoi de requêtes forgées au module websocket Node.js ».

La CVE-2025-24472 est décrite sur CVE.org de la même manière, mais son score de sévérité CVSS 3.1 n’est que 8,1, contre 9,6 pour la CVE-2024-55591.

L’avis mis à jour, qui suit les deux CVE en interne sous le nom de FG-IR-24-535, stipule que « des rapports indiquent que cette vulnérabilité est exploitée », ce qui a initialement semé la confusion – certains considérant la CVE-2025-24472 comme une faille inédite, une 0day. Ce n’est toutefois pas le cas : Fortinet précise ne pas avoir encore reçu de rapports faisant état de l’exploitation de la CVE-2025-24472, malgré les termes utilisés dans l’avis – qui couvre donc plus que cette seule vulnérabilité.

Des correctifs pour les deux vulnérabilités sont disponibles, ce qui constitue le seul moyen actuel d’effectivement remédier au problème. L’avis comprend toutefois des solutions de contournement ; un client peut choisir de désactiver l’interface administrative HTTP/HTTPS ou de limiter les adresses IP qui peuvent accéder à l’interface administrative. Les instructions pour ce faire sont disponibles dans le cadre de l’avis, de même que les indicateurs de compromission.

Alertant sur la CVE-2024-55591, l’Agence nationale de la sécurité des systèmes d’information (Anssi) rappelait en janvier que « l’exposition d’une interface d’administration sur Internet est contraire aux bonnes pratiques ». 

Selon Fortinet, les entreprises ayant procédé à une mise à niveau antérieure sur la base des conseils donnés dans le document FG-IR-24-535, relatif à la CVE-2024-55591 et publié en janvier, sont déjà protégées contre la nouvelle vulnérabilité. De quoi suggérer que la vulnérabilité CVE-2025-24472 a été corrigée en janvier, mais n’a été révélée que cette semaine. Procéder de la sorte n’est pas inédit.