Back to blog
FortinetFortiOSFortiGateCVEfirewallVPN

FortiOS et Fortinet : vulnérabilités majeures et bonnes pratiques de sécurité

Les appliances Fortinet sont omniprésentes dans les entreprises françaises. Tour d'horizon des CVE critiques FortiOS et des mesures pour sécuriser votre infrastructure.

April 12, 20263 min read

Les appliances Fortinet FortiGate équipent des dizaines de milliers d'entreprises en France et dans le monde. Firewalls périmètre, concentrateurs VPN SSL, solutions SD-WAN — leur exposition directe à internet en fait des cibles de choix pour les attaquants. Voici l'état des CVE critiques et les mesures à prendre.

Pourquoi FortiOS est particulièrement ciblé

Trois raisons expliquent l'intérêt des attaquants pour FortiGate :

  1. Exposition internet directe — les FortiGate sont par définition exposés sur le périmètre réseau
  2. Privilèges élevés — compromettre un firewall donne accès à l'ensemble du trafic réseau
  3. Difficulté du patching — les mises à jour FortiOS nécessitent des fenêtres de maintenance et peuvent impacter la production

CVE FortiOS majeures

CVE-2024-21762 — SSL VPN RCE (CVSS 9.6)

L'une des vulnérabilités les plus critiques de 2024. Une écriture hors limites dans le composant SSL VPN permettait l'exécution de code arbitraire à distance, sans authentification.

Versions affectées : FortiOS 7.4.0-7.4.2, 7.2.0-7.2.6, 7.0.0-7.0.13, 6.4.0-6.4.14
Versions corrigées : 7.4.3+, 7.2.7+, 7.0.14+, 6.4.15+
Statut : Exploitée activement — CISA KEV

CVE-2024-55591 — Authentification FortiOS (CVSS 9.6)

Contournement d'authentification via l'interface WebSocket de Node.js permettant à un attaquant de créer un super-admin sans credentials valides.

Versions affectées : FortiOS 7.0.0-7.0.16
Versions corrigées : 7.0.17+

CVE-2023-27997 — SSL VPN Heap Overflow (CVSS 9.8)

Un heap overflow dans le daemon SSL VPN permettant une exécution de code pré-authentifiée. Surnommée "XORtigate" dans la communauté sécurité. Affectait des FortiGate avec SSL VPN activé.

Versions corrigées : 6.0.17, 6.2.15, 6.4.13, 7.0.12, 7.2.5, 7.4.0+

CVE-2022-42475 — SSL VPN Heap Buffer Overflow (CVSS 9.3)

Exploitée comme zero-day avant la publication du patch, notamment par des acteurs étatiques (attribuée à UNC3886 selon Mandiant). Permettait l'exécution de code via le composant SSL VPN.

CVE-2022-40684 — Auth Bypass (CVSS 9.6)

Contournement d'authentification dans l'interface d'administration HTTP/HTTPS. Permettait à un attaquant d'effectuer des opérations admin via des requêtes HTTP forgées. Exploitée en masse avant que Fortinet publie son advisory.

Surveiller les CVE FortiOS en continu

La fréquence des CVE critiques FortiOS impose une veille permanente. Sur cveo.tech, vous pouvez :

  1. Rechercher fortios ou FortiGate pour voir toutes les CVE associées
  2. Enregistrer votre version FortiOS dans le parc d'équipements
  3. Recevoir des alertes automatiques dès qu'une nouvelle CVE vous concerne

Bonnes pratiques de durcissement FortiGate

Désactiver SSL VPN si non utilisé

Si vous n'utilisez pas le SSL VPN, désactivez-le — c'est la surface d'attaque la plus exploitée :

config vpn ssl settings
    set status disable
end

Restreindre l'accès à l'interface d'administration

N'exposez jamais l'interface d'administration sur l'interface WAN :

config system interface
    edit "wan1"
        set allowaccess ping  # Retirez https, ssh, http
    next
end

Activer les mises à jour automatiques de signatures

config system autoupdate schedule
    set status enable
    set frequency daily
end

Segmenter les flux SSL VPN

Utilisez le split tunneling avec des politiques strictes plutôt qu'un accès full-tunnel, et activez l'authentification multi-facteurs sur tous les accès SSL VPN.

Vérifier les IOCs post-exploitation

Après une faille majeure, Fortinet publie des IOCs (Indicators of Compromise) à rechercher dans les logs. Vérifiez notamment :

  • Création de comptes locaux suspects
  • Modifications des politiques firewall
  • Connexions SSL VPN depuis des IP inhabituelles

Processus de patching recommandé

  1. Abonnez-vous aux advisories Fortinet : psirt.fortinet.com
  2. Qualifiez les versions en environnement de test avant production
  3. Planifiez des fenêtres de maintenance courtes (FortiOS peut être mis à jour en < 10 min)
  4. Documentez les versions de chaque appliance — indispensable pour réagir rapidement

Ajoutez vos équipements Fortinet à votre parc sur cveo.tech et recevez une alerte dès qu'une nouvelle CVE vous concerne.

Monitor CVEs with AI

AI-powered search, CVSS scoring, asset monitoring and automatic alerts.

Try AI search →Create free account

Related articles

Patch Management Guide: How to Handle CVEs Quickly and Effectively

Learn how to build a robust CVE patch management process: SLAs by severity, key steps, tools, and common mistakes to avoid to protect your infrastructure.

How to Monitor CVE Vulnerabilities Across Your IT Assets

A complete guide to tracking and managing CVEs affecting your IT infrastructure: methods, tools, and best practices for IT teams and security managers.

How to Conduct a CVE Security Audit of Your IT Infrastructure

Complete guide to conducting a CVE security audit: asset inventory, vulnerability scanning, CVSS scoring, remediation planning, and CISO best practices.