Fortinet corrige une vulnérabilité critique dans son WAF

La rumeur courait depuis le début du mois d’octobre : une grave vulnérabilité pouvait être exploitée afin de détourner les mécanismes d’authentification de FortiWeb et s’y créer un compte disposant de privilèges administratifs.

Ce vendredi 14 novembre, en début d’après-midi, le CERT Orange Cyberdefense confirmait, évoquant une vulnérabilité « massivement exploitée dans la nature ». Et de préciser que les dernières version 7.0.12, 7.2.12, 7.4.10, 7.6.5, et 8.0.2 ne sont pas affectées. WatchTowr a détaillé le mode d’exploitation.

Cette vulnérabilité est désormais officiellement référencée CVE-2025-64446 et s’est vue attribuer un score de sévérité de 9,1 sur 10.

En attendant d’appliquer les mises à jour, Fortinet recommande de « désactiver http et https sur les interfaces exposées sur Internet ». Et de suggérer que l’interface d’administration n’a pas à être ainsi rendue accessible « selon les bonnes pratiques ». Si ces dernières sont respectées, « le risque est significativement réduit », souligne-t-il.

Cette vulnérabilité s’ajoute à la liste de celles pour lesquelles appliquer le correctif disponible n’est pas suffisant, car un acteur malveillant est susceptible d’avoir exploité la brèche avant cela. Dès lors, Fortinet conseille à ses clients de « vérifier leurs configurations et consulter les journaux pour détecter toute modification inattendue ou l'ajout de comptes administrateurs non autorisés ».

De son côté, Rapid7 indique avoir repéré la mise en vente, sur un forum assidument fréquenté par les cybercriminels autant que par leurs adversaires, le 6 novembre. Prudent, l’éditeur précise qu’il « n’est pas possible à l'heure actuelle de déterminer s'il s'agit du même exploit que celui décrit ci-dessus » tout en relevant que « la coïncidence des dates est frappante ».

L’agence américaine de la cybersécurité et de la sécurité des infrastructures (Cisa), a donné aux administrations locales jusqu’au 21 novembre pour traiter cette nouvelle vulnérabilité.