Les administrateurs de réseau qui utilisent des appareils FortiGate ont été activés pendant des jours: ce qui semblait être une défaillance corrigée dans l'authentification de FortiCloud SSO (identifié comme CVE-2025-59718) est de nouveau exploité pour prendre le contrôle des pare-feu même dans les équipements avec des correctifs récents. Les rapports des utilisateurs et l'analyse des incidents indiquent que la mise à jour annoncée comme solution n'a pas complètement fermé le chemin d'accès, permettant aux attaquants de créer des comptes administratifs à distance et de gérer des appareils comme s'ils avaient des pouvoirs légitimes.
La situation accumule plusieurs signes de gravité : preuve d'exploitation active, documents partagés par les gestionnaires et inclusion de la vulnérabilité dans les listes de risques officielles. Dans les forums techniques, plusieurs administrateurs ont publié des enregistrements montrant la création d'un utilisateur administrateur après une connexion SSO à partir d'un compte identifié comme cloud-init @ mail. io et adresse IP 104.28.244.114, un schéma qui coïncide avec les incidents précédemment détectés en décembre. Les mêmes administrateurs indiquent que leurs appareils exécutent des versions qui auraient dû corriger la défaillance, suggérant que le patch original n'a pas fermé tous les vecteurs d'exploitation.
Fortinet a publié une note technique sur cet incident sur son portail de sécurité (PSIRT), expliquant l'ampleur du problème et l'atténuation recommandée; il s'agit de la référence officielle pour vérifier les versions touchées et les mises à jour programmées: Fortinet PSIRT - FG-IR-25-647. Pour sa part, la United States Agency for Infrastructure and Cybersecurity (CISA) a déjà ajouté cette entrée à son catalogue de vulnérabilités exploitées activement, obligeant les organismes fédéraux à mettre en œuvre des mesures en peu de temps : CISA - Vulnérabilités exploitées connues (CVE-2025-59718).
Un facteur qui augmente le risque est l'exposition publique des dispositifs avec FortiCloud SSO activé. En décembre, Shadowserver a signalé qu'il y avait plus de 25 000 appareils accessibles sur Internet avec cette fonctionnalité activée; depuis lors, plusieurs milliers ont été désactivés, mais il y a encore plus de 11 000 équipements potentiellement accessibles du réseau public: Ombreserveur - FortiCloud SSO exposé.
Alors que Fortinet prépare de nouvelles versions du système d'exploitation (FortiOS 7.4.11, 7.6.6 et 8.0.0, selon les rapports de communication et de gestion internes) pour enfin mettre fin à l'échec, la recommandation pratique et urgente pour ceux qui pourraient être en danger est de désactiver temporairement la possibilité de session administrative par FortiCloud SSO. Cette fonctionnalité n'est pas activée par défaut sur les appareils qui ne sont pas enregistrés avec FortiCare, mais sur lesquels elle est, elle peut devenir la passerelle dont les attaquants profitent.
Si vous gérez FortiGate, vous pouvez désactiver la connexion FortiCloud SSO depuis l'interface graphique en naviguant dans les paramètres du système → et en mettant l'option "Autoriser la connexion administrative en utilisant FortiCloud SSO" sur Off. Si vous préférez la ligne de commande, les instructions pour la désactiver sont simples; exécutez les commandes suivantes sur le CLI de l'appareil:
config global system
définir admin-fortyloud-sso-login désactiver
fin
Désactiver cette option réduit immédiatement la surface d'attaque Mais ce n'est pas la seule mesure raisonnable. Les utilisateurs locaux et les dossiers d'accès devraient être vérifiés pour détecter de nouveaux comptes ou des activités inhabituelles, le SGI ou le registre de gestion centralisé devraient être examinés pour suivre les démarrages suspects des OSP et tout équipement présentant des signes d'engagement devrait être mis en quarantaine. Si vous détectez des comptes administratifs que vous n'avez pas créés, isolez-les et traitez l'incident comme une intrusion : modifiez les mots de passe, annulez les clés et certificats compromis et rétablissez l'intégrité de l'appareil de sauvegarde vérifiée avant de vous connecter à la production.
La communauté de la sécurité a déjà documenté les modes d'exploitation qui pointent vers l'envoi de messages SAML manipulés comme vecteur pour supplanter et créer des comptes avec des privilèges. L'analyse précédente, diffusée par des sociétés de cybersécurité, relie les incidents de décembre aux embryons du même modus operandi qui est actuellement observé; il est donc essentiel non seulement d'appliquer le blocus temporaire, mais aussi de garder un œil sur les nouvelles mises à jour officielles de Fortinet et de les appliquer dès qu'elles sont confirmées.
Enfin, bien que la principale mesure d'atténuation soit technique, il y a une dimension opérationnelle importante : communiquer clairement et rapidement aux équipes concernées, coordonner avec l'appui du fournisseur et, le cas échéant, avec les organismes de réglementation, et préserver les preuves à des fins d'analyse médico-légale. La communication publique sur ces incidents circule déjà dans des forums spécialisés - par exemple, les gestionnaires ont publié des références et des échantillons de journaux dans des fils techniques - et les autorités et les groupes d'intervention suivent l'évolution. Pour plus de contexte et de source officielle, consultez l'avis Fortinet et l'entrée du catalogue de la CISA mentionné ci-dessus.
La leçon immédiate pour les responsables de la sécurité est simple mais forte : Si votre FortiGate a FortiCloud SSO activé, désactivez-le maintenant et surveillez les panneaux d'accès non autorisés jusqu'à ce que Fortinet publie et vérifie un patch qui ferme toutes les variantes de contournement.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...