Fortinet a reconnu qu'il étudie un nouveau vecteur d'attaque qui permet l'authentification SSO sur les appareils utilisant FortiCloud, même sur les appareils récemment mis à jour. Ces derniers jours, la société a détecté des accès malveillants qui ne respectaient pas les corrections précédemment appliquées à deux vulnérabilités assignées telles que CVE-2025-59718 et CVE-2025-59719, suggérant que les attaquants ont trouvé une voie alternative pour authentifier les sessions sans passer par le flux légitime de SAML.
Les incidents signalés montrent un pattern clair : des intrus qui se connectent à travers le mécanisme FortiCloud SSO, créent des comptes génériques pour maintenir un accès persistant, modifient la configuration pour leur permettre de se connecter avec VPN et extraire les paramètres de pare-feu vers des serveurs externes. Les noms de comptes observés par les chercheurs comprennent : "cloud-noc @ mail.io" et "cloud-init @ mail.io", étiquettes qui servent à suivre l'activité et vérifier si un appareil a été compromis.
Il est important de comprendre pourquoi c'est sérieux. SAML (Security Assertion Markup Language) est une norme largement utilisée pour déléguer l'authentification entre les fournisseurs d'identité et les services; lorsque ce mécanisme échoue, un attaquant peut supplanter les administrateurs sans références valides. Si vous voulez approfondir le fonctionnement de SAML et pourquoi tout échec dans sa mise en œuvre peut avoir des conséquences considérables, il y a de bonnes explications techniques dans la documentation officielle OASIS et dans des analyses informatives telles que Cloudflare: Spécifications SAML v2.0 (OASIS) et explication pratique de SAML par Cloudflare.
Fortinet a publié une analyse publique de cette campagne et de l'exploitation de la SSO qu'elle étudie et atténue activement; son rapport technique détaille les résultats et les mesures de temps recommandées par le fabricant. Vous pouvez voir cette note sur votre blog officiel pour voir les informations directement de la source: Analyse de l'abus de SSO dans FortiOS (Fortinet). De plus, les vulnérabilités connexes sont enregistrées dans les listes publiques du CVE à des fins de référence technique : CVE-2025-59718 et CVE-2025-59719.
Alors que Fortinet travaille à fermer complètement la nouvelle voie d'attaque, il ya plusieurs mesures urgentes que les organisations avec des dispositifs FortiGate devraient prendre. Tout d'abord, il convient de réduire l'exposition administrative des équipements à Internet en appliquant des politiques d'accès local et en limitant l'orientation des ports de gestion. Une autre mesure pratique est de désactiver temporairement la connexion SSO FortiCloud - l'option identifiée comme admin-forticloud-sso-login- jusqu'à ce qu'il soit confirmé que la correction couvre le nouveau vecteur. Il est également essentiel de vérifier les comptes administratifs existants, de rechercher la présence des noms observés par les chercheurs et d'examiner les changements dans les politiques VPN et les exportations de configuration qui peuvent indiquer l'exfiltration.
En plus des mesures spécifiques, il convient d'adopter des mesures de détection et de confinement : examiner l'authentification et les enregistrements système pour détecter les connexions inhabituelles de SSO, appliquer des alertes pour la création de comptes administratifs et la modification des règles d'accès à distance, et, si l'engagement est confirmé, isoler les appareils touchés et restaurer les configurations de sauvegarde avant l'incident. Nous ne devons pas oublier de renforcer la position générale : appliquer l'authentification multifactorielle lorsque c'est possible, faire pivoter les pouvoirs et maintenir un inventaire rigoureux et un contrôle de changement pour les périphériques de bord.
Cet incident laisse également un enseignement plus large : bien que l'exploitation observée ait porté sur FortiCloud SSO, les défaillances des implémentations SAML peuvent affecter n'importe quel fournisseur ou produit qui dépend de cette norme pour la connexion unique. C'est pourquoi il est recommandé que les équipes de sécurité d'entreprise examinent toutes les intégrations SAML qui ont été déployées, analysent la possibilité d'affirmations supplantantant les attaques et consultent les publications de leurs fournisseurs et agences de cybersécurité pour des mesures spécifiques.
La situation continue d'évoluer et Fortinet a indiqué qu'elle déploie des corrections supplémentaires pour fermer la nouvelle piste d'attaque détectée. Il est essentiel d'être informé des communications officielles du fournisseur et des alertes de sécurité publique pour réagir rapidement. Pour le suivi technique et les recommandations officielles, examiner la déclaration du fabricant et les rubriques CVE susmentionnées.
Si vous gérez FortiGate sur votre réseau et n'avez pris aucune de ces mesures, agissez dès que possible : limitez l'accès administratif depuis Internet, désactivez le SSO FortiCloud si cela n'est pas nécessaire et surveillez les signaux d'engagement. Dans un monde où les outils d'authentification uniques gagnent du terrain, la sécurité de leur mise en œuvre est aussi forte que le plus faible de leurs intégrations.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...