ISGroup Conseil en Cybersécurité

Vulnérabilité critique de dépassement de tampon (CVE-2025-32756) dans de multiples produits Fortinet permettant l’exécution de code à distance

Une vulnérabilité de sécurité grave, identifiée sous le nom de CVE-2025-32756, a été découverte dans plusieurs produits de sécurité réseau de Fortinet, notamment FortiVoice, FortiMail, FortiNDR, FortiRecorder et FortiCamera. Cette vulnérabilité est critique car elle peut être exploitée par des attaquants distants sans nécessiter d’identifiants de connexion. En cas d’exploitation réussie, un attaquant pourrait prendre le contrôle total des appareils Fortinet concernés, entraînant des conséquences potentiellement graves telles que des violations de sécurité, le vol de données, l’interruption du réseau ou l’utilisation du dispositif compromis pour mener d’autres attaques. Les organisations utilisant ces produits Fortinet doivent traiter cette vulnérabilité avec la plus haute priorité.

ProduitFortinet FortiNDR
Date28-05-2025 09:39:33
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

La CVE-2025-32756 est une vulnérabilité de type dépassement de tampon (buffer overflow) basé sur la pile (CWE-121) présente dans le mécanisme de gestion des requêtes HTTP de plusieurs produits Fortinet. Plus précisément, le défaut se situe dans le chemin /remote/login. Un attaquant distant non authentifié peut déclencher ce dépassement en envoyant des requêtes HTTP spécialement conçues, généralement en manipulant le contenu ou la longueur des données dans certains composants de la requête, tels que les cookies ou les paramètres.

Le dépassement permet à l’attaquant d’écraser des données critiques dans la pile, y compris les pointeurs d’instruction sauvegardés (tels que l’adresse de retour). En contrôlant soigneusement les données écrasées, un attaquant peut rediriger le flux d’exécution du programme. Cela est souvent réalisé en utilisant des techniques ROP (Return-Oriented Programming), où des fragments de code existants (gadgets) dans la mémoire de l’application compromise sont concaténés pour exécuter des commandes arbitraires.

Une exploitation réussie peut permettre à l’attaquant d’exécuter du code avec les privilèges du service Fortinet concerné, qui peuvent être élevés (par exemple, accès root ou système selon le produit et l’architecture du service). Cette exploitation suppose un environnement où les protections telles que l’ASLR (Address Space Layout Randomization) et les « stack canaries » sont absentes, désactivées ou contournables, et où certaines adresses mémoire (par exemple pour les gadgets ROP et les fonctions de bibliothèque comme system()) sont connues ou prévisibles avec fiabilité. L’exploitation implique généralement la livraison d’une charge utile (payload) contenant un shellcode ou une chaîne ROP qui exécute une commande, telle que l’écriture d’un fichier sur le système de fichiers pour vérification ou l’établissement d’un reverse shell.

Recommandations

Compte tenu de la nature critique de la CVE-2025-32756 et du potentiel d’exécution de code à distance non authentifiée, il est nécessaire d’agir immédiatement :

  1. Appliquer les correctifs immédiatement : donnez la priorité à l’application des correctifs de sécurité et des mises à jour du firmware publiés par Fortinet pour tous les produits concernés (FortiVoice, FortiMail, FortiNDR, FortiRecorder, FortiCamera) dès qu’ils sont disponibles. Surveillez attentivement les avis de sécurité de Fortinet.
  2. Limiter les accès (atténuation) : si l’application immédiate des correctifs n’est pas possible, limitez l’accès réseau aux interfaces de gestion et à tout chemin vulnérable (ex. /remote/login) des appareils Fortinet concernés. Autorisez l’accès uniquement depuis des adresses IP de confiance et des réseaux de gestion internes. Évitez, si possible, d’exposer ces interfaces directement sur Internet.
  3. Segmentation du réseau : assurez-vous que les appareils concernés sont correctement segmentés au sein du réseau afin de limiter l’impact potentiel d’une compromission.
  4. Pare-feu d’application Web (WAF) : si un WAF est déployé devant les appareils Fortinet, envisagez de créer des règles personnalisées pour inspecter et bloquer les données trop longues ou malformées dans les composants des requêtes HTTP (tels que les cookies ou des paramètres spécifiques) dirigés vers les chemins vulnérables connus. Cependant, cette mesure ne doit être considérée que comme une atténuation temporaire et ne remplace pas l’application des correctifs.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *