BleepingComputer rapporte que des attaquants exploitent un contournement de correctif pour une vulnérabilité critique d’authentification FortiGate (CVE-2025-59718), compromettant des pare-feux déjà patchés.

  • Des administrateurs Fortinet observent des compromissions sur des FortiGate en FortiOS 7.4.9 et 7.4.10. Fortinet aurait confirmé que 7.4.10 ne corrige pas entièrement la faille, initialement annoncée comme patchée avec 7.4.9. L’éditeur prévoirait la sortie de FortiOS 7.4.11, 7.6.6 et 8.0.0 dans les prochains jours pour corriger pleinement le problème.

  • Des logs partagés montrent la création d’un compte admin à partir d’une connexion SSO avec l’identité « cloud-init@mail.io » depuis 104.28.244.114, cohérente avec des exploitations précédemment observées par Arctic Wolf (déc. 2025) via des messages SAML malveillants. Un autre admin rapporte un schéma identique (même IP, création d’un compte « helpdesk ») et indique que l’équipe de développement Fortinet a confirmé la persistance de la vulnérabilité en v7.4.10. Fortinet n’a pas répondu aux sollicitations de BleepingComputer.

  • En attendant un correctif complet, il est conseillé de désactiver temporairement l’authentification FortiCloud SSO (si activée) : via l’interface « System → Settings → Allow administrative login using FortiCloud SSO = Off » ou en CLI:

    • config system global
    • set admin-forticloud-sso-login disable
    • end Fortinet précise que FortiCloud SSO n’est pas activé par défaut si l’appareil n’est pas enregistré FortiCare. Shadowserver comptabilisait >25 000 appareils exposés mi-décembre, réduits à ~11 000 encore accessibles.

  • CISA a ajouté CVE-2025-59718 à sa liste KEV des failles activement exploitées, imposant une remédiation sous une semaine aux agences fédérales. Par ailleurs, des acteurs exploitent aussi une faille critique FortiSIEM avec code d’exploitation public permettant une exécution de code en root sur appareils non corrigés.

  • IOCs 🔎

    • IP source: 104.28.244.114
    • Identité SSO observée: cloud-init@mail.io
    • Comptes créés: helpdesk, compte admin local

  • TTPs 🧰

    • Contournement de correctif d’une auth bypass sur FortiCloud SSO (CVE-2025-59718)
    • Forgerie de messages SAML pour compromettre des comptes admin
    • Création de comptes administrateurs après accès SSO

Article de presse spécialisé à visée d’alerte sur une exploitation active et les mesures temporaires indiquées.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/fortinet-admins-report-patched-fortigate-firewalls-getting-hacked/

🖴 Archive : https://web.archive.org/web/20260121212254/https://www.bleepingcomputer.com/news/security/fortinet-admins-report-patched-fortigate-firewalls-getting-hacked/