Selon l’extrait fourni, des acteurs malveillants exploitent des failles critiques dans plusieurs produits Fortinet afin d’obtenir un accès non autorisé aux comptes administrateur et de dérober des fichiers de configuration système.

🚨 Des hackers mènent une exploitation active de vulnérabilités critiques touchant plusieurs produits Fortinet. L’objectif principal est l’accès non autorisé à des comptes administrateur et le vol de fichiers de configuration.

1) Fait principal

  • Des hackers exploitent activement deux vulnérabilités critiques affectant plusieurs produits Fortinet.
  • Objectif : obtenir un accès administrateur et exfiltrer les fichiers de configuration système.
  • Les attaques sont observées depuis le 12 décembre, soit quelques jours après l’alerte officielle de Fortinet (9 décembre).

2) Vulnérabilités exploitées

🔴 CVE-2025-59718

  • Type : contournement d’authentification FortiCloud SSO
  • Produits affectés :
    • FortiOS
    • FortiProxy
    • FortiSwitchManager
  • Cause : mauvaise vérification cryptographique des signatures SAML
  • Impact : connexion possible sans authentification valide via une assertion SAML malveillante

🔴 CVE-2025-59719

  • Type : contournement d’authentification FortiCloud SSO
  • Produit affecté :
    • FortiWeb
  • Cause : faille similaire dans la validation des signatures SAML
  • Impact : accès administrateur non authentifié via SSO forgé

📌 Les deux failles ne sont exploitables que si FortiCloud SSO est activé
⚠️ Cette option n’est pas activée par défaut, mais elle l’est automatiquement lors de l’enregistrement via FortiCare, sauf désactivation explicite.

3) Mode opératoire observé (TTPs)

Selon Arctic Wolf :

  1. Exploitation des failles SAML pour contourner l’authentification SSO
  2. Ciblage direct des comptes administrateurs
  3. Accès à l’interface web de gestion
  4. Téléchargement des fichiers de configuration système

📂 Ces fichiers peuvent contenir :

  • Topologie réseau
  • Services exposés sur Internet
  • Politiques de pare-feu
  • Interfaces vulnérables
  • Tables de routage
  • Mots de passe hachés (potentiellement cassables)

➡️ L’exfiltration confirme une activité malveillante structurée, et non un simple scan de recherche.

4) Infrastructures d’attaque observées

Les connexions malveillantes proviennent d’adresses IP associées à :

  • The Constant Company
  • BL Networks
  • Kaopu Cloud HK

5) Produits concernés / non concernés

❌ Versions vulnérables

  • De nombreuses versions Fortinet antérieures aux correctifs

✅ Versions explicitement non affectées

  • FortiOS 6.4
  • FortiWeb 7.0
  • FortiWeb 7.2

6) Mesures de mitigation recommandées

🔧 Mesure immédiate (si patch impossible)

  • Désactiver FortiCloud SSO : System → Settings → Allow administrative login using FortiCloud SSO = Off

markdown Copier le code

🔐 Mises à jour recommandées

  • FortiOS : 7.6.4+, 7.4.9+, 7.2.12+, 7.0.18+
  • FortiProxy : 7.6.4+, 7.4.11+, 7.2.15+, 7.0.22+
  • FortiSwitchManager : 7.2.7+, 7.0.6+
  • FortiWeb : 8.0.1+, 7.6.5+, 7.4.10+

🔁 En cas de compromission suspectée

  • Rotation immédiate des identifiants firewall
  • Restreindre l’accès à l’administration aux réseaux internes de confiance
  • Examiner les journaux d’authentification SSO

🎯 TTPs et IoCs

TTPs (confirmés)

  • Exploitation de failles SAML / SSO
  • Contournement d’authentification
  • Accès admin via interface web
  • Exfiltration de fichiers de configuration
  • Pré-positionnement pour attaques ultérieures

IoCs

  • Adresses IP liées à :
  • The Constant Company
  • BL Networks
  • Kaopu Cloud HK
  • Logs montrant des connexions SSO admin sans authentification valide
  • Accès anormal aux fichiers de configuration

Type d’article: article d’alerte signalant une exploitation en cours et visant à informer sur l’impact et la nature des failles.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-exploit-newly-patched-fortinet-auth-bypass-flaws/