Selon SentinelOne (billet de blog DFIR), plusieurs incidents début 2026 montrent des FortiGate compromis servant de point d’entrée pour des mouvements latéraux profonds dans Active Directory, avec exploitation de failles SSO corrigées par Fortinet et carences de logs compliquant l’attribution.

• Vulnérabilités et accès initial: exploitation de CVE-2025-59718 et CVE-2025-59719 (SSO ne validant pas les signatures cryptographiques) et de CVE-2026-24858 (FortiCloud SSO), permettant un accès administrateur non authentifié. Des acteurs tentent aussi des connexions avec identifiants faibles. Une fois sur l’appliance, l’attaque consiste à extraire la configuration via la commande show full-configuration et à déchiffrer les identifiants AD/LDAP, les fichiers de configuration FortiOS étant chiffrés de façon réversible. Le délai entre compromission périmétrique et action réseau a varié de 2 mois à quasi immédiat.

• Incident 1 — postes rogue et balayage réseau: création d’un compte local support sur FortiGate et de politiques any‑any, avec faible activité périodique (schéma d’un IAB). En février 2026, extraction de configuration et usage des identifiants LDAP du compte fortidcagent; authentification depuis 193.24.211[.]61; abus de l’attribut mS‑DS‑MachineAccountQuota pour joindre 2 postes rogue (WIN‑X8WRBOSK0OF, WIN‑YRSXLEONJY2). Détection de balayage réseau et password spraying depuis l’IP FortiGate; artefacts delete.me suggérant SoftPerfect Network Scanner. Échecs de connexion depuis 185.156.73[.]62 et 185.242.246[.]127. Les enregistrements Validin lient 193.24.211[.]61 à un RDP exposé (WIN‑1J7L3SQSTMS), considéré suspect.

• Incident 2 — RMM et exfiltration NTDS: création du compte ssl‑admin sur FortiGate, puis en 10 minutes connexions aux serveurs avec le Domain Administrator (types 3 et 10) depuis la plage IP VPN FortiGate. Staging dans C:\ProgramData\USOShared; téléchargement et installation de Pulseway et MeshAgent; dissimulation de MeshAgent via Registre (SystemComponent=1); planifications JavaMainUpdate et MeshUserTask. Téléchargement de charge via PowerShell depuis AWS S3 (fastdlvrss[.]s3[.]us‑east‑1[.]amazonaws[.]com) et DLL side‑loading via Java contactant ndibstersoft[.]com et neremedysoft[.]com; exécution via PsExec vers d’autres serveurs dont les contrôleurs de domaine. Création d’un shadow copy via WMIC, extraction de NTDS.dit et de la ruche SYSTEM, compression par makecab, puis exfiltration présumée via une connexion 443 à 172.67.196[.]232 (Cloudflare) durant 8 minutes avant suppression locale. Aucun usage ultérieur de nouveaux identifiants observé avant la contention.

• Guidage forensic et visibilité: SentinelOne fournit des pistes d’enquête incluant journaux FortiGate (ex. 0100032001 connexions SSO, 0100032095 téléchargement de configuration, 0100044547 création d’admins locaux; VPN 0101039424 SSL et 0101037138 IPsec, corrélation remip), événements Windows sur contrôleurs de domaine (4741 création de compte machine, 4624 type 3, 5136 changements annuaire), journaux DNS (515 et Microsoft‑Windows‑DNSServer/Analytical), et attributs AD (mS‑DS‑CreatorSID, SPNs absents, whenCreated, origine/heure via sAMAccountName). Le billet souligne l’importance d’un SIEM recevant les logs pour UEBA, détection d’accès à la configuration et de comptes non autorisés, détection de téléchargements malveillants et C2, conservation probante des traces et automatisation des réponses.

• IOCs et TTPs

  • Domains: ndibstersoft[.]com; neremedysoft[.]com; fastdlvrss[.]s3[.]us‑east‑1[.]amazonaws[.]com
  • IPs: 185.156.73[.]62; 185.242.246[.]127; 193.24.211[.]61; 172.67.196[.]232
  • URLs: hxxps://fastdlvrss[.]s3[.]us-east-1[.]amazonaws[.]com/paswr.zip; hxxps://storage.googleapis[.]com/apply‑main/windows_agent_x64[.]msi
  • Comptes créés par l’attaquant: support; ssl‑admin
  • Noms d’hôtes Windows: WIN‑1J7L3SQSTMS; WIN‑X8WRBOSK0OF; WIN‑YRSXLEONJY2
  • TTPs: exploitation de failles SSO FortiGate; extraction/déchiffrement de configuration FortiOS; création d’admins locaux et de politiques any‑any; jonction de postes rogue via mS‑DS‑MachineAccountQuota; password spraying; usage de SoftPerfect Network Scanner; déploiement de RMM (Pulseway, MeshAgent) et dissimulation via Registre; tâches planifiées; PowerShell depuis cloud storage (GCS, AWS S3); DLL side‑loading Java et C2; PsExec; VSS/WMIC pour NTDS.dit + SYSTEM; makecab; exfiltration via IP Cloudflare.

Il s’agit d’une analyse de menace/rapport d’incident visant à documenter des intrusions FortiGate récentes, exposer les vecteurs et enchaînements opérationnels, et fournir des éléments d’enquête et des indicateurs de compromission.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation de failles SSO FortiGate’, ‘Extraction/déchiffrement de configuration FortiOS’, “Création d’administrateurs locaux et de politiques any-any”, ‘Jonction de postes rogue via mS-DS-MachineAccountQuota’, ‘Password spraying’, ‘Usage de SoftPerfect Network Scanner’, ‘Déploiement de RMM (Pulseway, MeshAgent) et dissimulation via Registre’, ‘Tâches planifiées’, ‘PowerShell depuis cloud storage (GCS, AWS S3)’, ‘DLL side-loading Java et C2’, ‘PsExec’, ‘VSS/WMIC pour NTDS.dit + SYSTEM’, ‘Makecab’, ‘Exfiltration via IP Cloudflare’]

IOC

{‘domains’: [’ndibstersoft[.]com’, ’neremedysoft[.]com’, ‘fastdlvrss[.]s3[.]us-east-1[.]amazonaws[.]com’], ‘ips’: [‘185.156.73[.]62’, ‘185.242.246[.]127’, ‘193.24.211[.]61’, ‘172.67.196[.]232’], ‘urls’: [‘hxxps://fastdlvrss[.]s3[.]us-east-1[.]amazonaws[.]com/paswr.zip’, ‘hxxps://storage.googleapis[.]com/apply‑main/windows_agent_x64[.]msi’], “comptes_crees_par_l’attaquant”: [‘support’, ‘ssl-admin’], “noms_d’hotes_windows”: [‘WIN‑1J7L3SQSTMS’, ‘WIN‑X8WRBOSK0OF’, ‘WIN‑YRSXLEONJY2’]}

🔗 Source originale : https://www.sentinelone.com/blog/fortigate-edge-intrusions/