Le scénario décrit par les équipes d'intervention et les entreprises qui ont étudié la campagne est direct et rapide. Selon les rapports publics d'entreprises industrielles, à la mi-janvier, des accès anormales, y compris la création de comptes administratifs avec accès VPN et l'exfiltration des configurations de l'équipement en question en quelques secondes, ont commencé à être détectés. La vitesse et l'uniformité de ces intrusions vous font penser à un processus automatisé qui profite d'une nouvelle voie d'attaque ou d'une façon de dessiner la correction précédente.
Fortinet a publiquement confirmé que l'activité observée au cours des dernières semaines est similaire aux exploitations documentées en décembre et que l'entreprise s'efforce d'identifier et de corriger complètement le vecteur responsable des nouvelles intrusions. Dans sa note technique sur l'abus de SSO à FortiOS ( Voir communication de Fortinet) la société reconnaît que, bien que l'exploitation connue ait jusqu'à présent affecté FortiCloud SSO, le problème sous-jacent est lié à la mise en œuvre de SAML SSO en général.
Les signes qui ont partagé clients et analystes aident à reconstruire une partie de l'attaque: dans plusieurs enregistrements d'accès, il est noté que les comptes administratifs ont été créés après une connexion SSO à partir du cloud-init @ mail. io adresse postale et de la IP 104.28.244.114, coïncidences qui ont également été identifiées par la firme de sécurité qui a publié des observations sur la campagne. Fortinet, pour sa part, a énuméré des indicateurs d'engagement qui peuvent être utilisés pour la recherche de preuves sur des dispositifs potentiellement affectés ( Voir CIOs partagés par Fortinet).
Afin de mesurer l'exposition, le groupe de surveillance Shadowserver maintient un suivi d'équipe avec FortiCloud SSO exposé sur Internet et son conseil montre environ 11 000 appareils accessibles au public avec ce service activé ( voir panneau Shadowserver). Ce chiffre explique pourquoi l'ajout du CVE-2025-59718 à la liste des vulnérabilités activement exploitées de l'agence américaine CISA a généré des mesures urgentes : le 16 décembre, le CISA a incorporé cette défaillance dans son catalogue et a ordonné aux agences fédérales d'appliquer des correctifs dans le temps ( Déclaration de la CISA, entrée dans le catalogue).
Dans ce contexte, les recommandations pratiques sont claires et urgentes. Fortinet a suggéré de limiter l'accès administratif à partir d'Internet en appliquant une politique locale qui limite les adresses IP autorisées à gérer les appareils; la documentation officielle explique comment mettre en œuvre cette politique dans FortiGate ( plus d'informations sur la politique locale). En outre, tout en fournissant une correction finale, l'entreprise conseille de désactiver l'option de se connecter administrativement en utilisant FortiCloud SSO dans les paramètres du système et de vérifier toute trace d'engagement dans les enregistrements.
Si, lors de l'examen des machines, les indicateurs d'engagement associés à cette campagne sont trouvés, la recommandation opérationnelle est de traiter l'équipement et sa configuration comme engagés: modifier toutes les références pertinentes, y compris les comptes LDAP / AD qui ont pu être exposés, et restaurer la configuration à partir d'une sauvegarde connue comme propre. Fortinet a publié des étapes techniques et des ressources dans sa communauté pour guider la réponse ( voir les suggestions dans la communauté Fortinet).
Au-delà de cet incident particulier, deux leçons doivent être internalisées. La première est que les solutions d'authentification centralisées telles que SAML / SSO, qui offrent confort et contrôle, concentrent également le risque : une vulnérabilité dans cette chaîne de confiance peut donner un accès large et rapide à un attaquant. La deuxième est que l'application d'un patch ne garantit pas que l'exposition a disparu; il y a toujours des cas où d'autres itinéraires d'exploitation se présentent ou où la correction ne couvre pas les scénarios imprévus. Par conséquent, dans les environnements critiques, les mesures de défense en profondeur - segmentation d'accès, liste blanche IP pour l'administration, surveillance continue du journal et restauration à partir de sauvegardes propres - restent essentielles.
Si vous gérez Fortinet dans un réseau d'affaires, il est approprié d'agir immédiatement : examiner la configuration de FortiCloud SSO, vérifier l'accès récent, appliquer des blocs de gestion Internet et préparer des plans de réponse qui incluent la rotation des références et la restauration en toute sécurité. Bon nombre de ces instructions sont détaillées dans les sources officielles énumérées dans cet article; examiner et suivre ces instructions réduit considérablement la probabilité d'intrusion similaire.
La situation est en train de se développer et les fournisseurs de sécurité et les fabricants continueront de publier des mises à jour techniques. Pour vous tenir à jour et comparer les informations, vérifiez les publications des fabricants et les alertes d'organismes tels que CISA, ainsi que les rapports des entreprises d'intervention qui surveillent les activités malveillantes dans le domaine. Dans un environnement où les attaques sont rapidement automatisées et disséminées, la prévention active et la détection précoce sont la meilleure défense.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...