Des criminels profitent de deux vulnérabilités critiques au sein de FortiCloud pour s’introduire dans les appareils et voler des données de configuration.
Deux vulnérabilités précédemment découvertes dans l’écosystème Fortinet sont activement exploitées. Il s’agit des CVE-2025-59718 et CVE-2025-59719. Les deux bogues concernent FortiCloud SSO (authentification unique) et une manière incorrecte de traiter les signatures cryptographiques dans les messages SAML. Ils affectent FortiOS, FortiProxy, FortiSwitchManager et FortiWeb.
Arctic Wolf met de nouveau en garde contre l’exploitation active des vulnérabilités. Depuis le 15 janvier, des cybercriminels montreraient un intérêt renouvelé pour celles-ci. La méthode d’attaque est identique à celle des campagnes qui ont eu lieu en décembre. Cela signifie que de nombreux clients de Fortinet n’ont toujours pas corrigé leurs systèmes.
Préparation à d’autres attaques
Lorsque FortiCloud SSO est activé, les criminels peuvent exploiter les bugs. Par défaut, SSO n’est pas activé, mais cela change lorsque les administrateurs ajoutent leurs appareils Fortinet via l’interface utilisateur FortiCare.
En décembre, des chercheurs en sécurité d’Arctic Wolf avaient déjà constaté comment des pirates informatiques exploitaient les bogues pour accéder à des comptes d’administrateur dans des environnements Fortinet. Une fois qu’ils ont obtenu un accès administrateur, ils téléchargent les fichiers de configuration du système via l’interface de gestion Web. Un mois plus tard, la société de sécurité constate le même phénomène.
lire aussi
FortiWeb en proie à des vulnérabilités
Ces fichiers sont précieux pour d’éventuelles attaques ultérieures. Ils contiennent la disposition du réseau, des informations sur les solutions connectées à Internet, les politiques de pare-feu et même les mots de passe (hachés). Grâce à ces informations, les pirates peuvent se lancer dans des intrusions ciblées plus profondes dans les réseaux d’entreprise afin de causer davantage de dommages.
Mise à jour déjà disponible
Le 9 décembre, Fortinet a déjà averti ses clients des bugs et mis à disposition les mises à jour nécessaires. Comme souvent, les pirates exploitent donc des bugs pour lesquels un correctif existe déjà, qui, dans de nombreux cas, n’a pas encore été appliqué par les administrateurs.
Maintenant que les attaquants exploitent effectivement les vulnérabilités, le patching est plus important que jamais. Les versions suivantes du logiciel Fortinet sont sûres, les versions plus anciennes ne le sont pas :
- FortiOS : 7.6.4+, 7.4.9+, 7.2.12+ et 7.0.18+
- FortiProxy : 7.6.4+, 7.4.11+, 7.2.15+ et 7.0.22+
- FortiSwitchManager : 7.2.7+ et 7.0.6+
- FortiWeb : 8.0.1+, 7.6.5+ et 7.4.10+
Si, pour une raison ou une autre, la mise à jour ne peut pas être effectuée immédiatement, les administrateurs doivent désactiver temporairement la fonction de connexion de FortiCloud. Cela peut se faire via System et Settings, où vous devez mettre Allow administrative login using FortiCloud SSO vers Offdient à mettre. Le correctif de vos pare-feu offre la meilleure sécurité dans tous les cas de figure.
Cet article a été publié initialement le 17 décembre 2025 et a été mis à jour avec les informations les plus récentes.