Depuis dĂ©cembre 2025, Fortinet confirme lâexploitation active dâune faille critique affectant la fonction FortiCloud SSO (Single Sign-On), permettant Ă des attaquants dâaccĂ©der Ă des appareils Fortinet sans authentification lĂ©gitime. Cette attaque est particuliĂšrement grave car elle frappe des fonctions dâadministration â le cĆur de la sĂ©curitĂ© rĂ©seau â et a Ă©tĂ© observĂ©e malgrĂ© lâinstallation de correctifs.
đ§ đ Contexte : pourquoi câest grave
Les produits Fortinet (notamment FortiGate, FortiWeb, FortiProxy et FortiSwitchManager) sont largement dĂ©ployĂ©s dans les infrastructures dâentreprise pour filtrer, protĂ©ger et orchestrer le trafic rĂ©seau. Une compromission de ces Ă©quipements peut conduire Ă :
- đ AccĂšs administrateur non autorisĂ©
- đ€Â Exfiltration des configurations complĂštes
- đ§°Â CrĂ©ation de comptes persistants
- đ Vol de certificats, identifiants, et VPN
Les attaques observées depuis mi-janvier 2026 sont hautement automatisées, ciblent principalement des interfaces accessibles via internet, et mÚnent à des modifications de configuration en quelques secondes.
đ§Ș đ DĂ©tails techniques des vulnĂ©rabilitĂ©s
đ CVE-2025-59718 â Bypass dâauthentification FortiCloud SSO
- Type de faille : contournement dâauthentification via manipulation de messages SAML (signature cryptographique mal vĂ©rifiĂ©e).
- Produits touchĂ©s : FortiOS, FortiProxy, FortiSwitchManager lorsquâils ont FortiCloud SSO activĂ©.
- Impact : un attaquant non authentifié peut forger une réponse SAML valide et obtenir un accÚs administratif.
- CVSS :Â Critique (â„ 9.8).Â
đĄïž CVE-2025-59719 â Bypass sur FortiWeb
- Type : vulnérabilité similaire sur la plateforme FortiWeb, exploitant aussi des SAML forgés.
- Effet : élévation de privilÚges et accÚs administrateur sans mot de passe.
- Lien :Â fait partie de lâadvisory Fortinet FG-IR-25-647, qui regroupe ces failles critiques.Â
đ Ces vulnĂ©rabilitĂ©s rĂ©sultent dâune vĂ©rification cryptographique insuffisante des messages SAML lors des sessions SSO FortiCloud (CWE-347). Elles permettent essentiellement de « leurre » le mĂ©canisme dâauthentification pour quâil accepte une session non lĂ©gitime.
â ïž đ Exploitation active dans la nature
Peu aprĂšs la publication des correctifs en dĂ©cembre 2025, plusieurs sociĂ©tĂ©s de cybersĂ©curitĂ© â notamment Arctic Wolf et Huntress â ont suivi des campagnes dâexploitation automatisĂ©es :
- Tentatives de login SSO malveillant
- Exfiltration rapide de configurations
- Création immédiate de comptes persistants
- Automatisation Ă grande Ă©chelle (des dizaines de milliers dâappareils exposĂ©s avec SSO activĂ©)Â
Des administrateurs ont mĂȘme constatĂ© des attaques rĂ©ussies malgrĂ© lâapplication des derniĂšres versions patchĂ©es, indiquant soit un contournement des correctifs initiaux, soit une mise Ă jour encore insuffisante dans certaines branches (par exemple 7.4.9 et 7.4.10).
đ ïž đ Versions vulnĂ©rables et correctifs disponibles
Fortinet a publiĂ© des versions fixes pour les branches principales, mais lâĂ©tat des correctifs reste instable dans certaines versions selon les observations du terrain.
| Produit / Version | Versions vulnérables | Version corrigée |
|---|---|---|
| FortiOS 7.6 | 7.6.0 â 7.6.3 | â„ 7.6.4 |
| FortiOS 7.4 | 7.4.0 â 7.4.8 | â„ 7.4.9 |
| FortiOS 7.2 | 7.2.0 â 7.2.11 | â„ 7.2.12 |
| FortiProxy 7.2 | 7.2.0 â 7.2.14 | â„ 7.2.15 |
| FortiSwitchManager 7.2 | 7.2.0 â 7.2.6 | â„ 7.2.7 |
đ Important : certains correctifs dĂ©ployĂ©s (comme 7.4.9 ou 7.4.10) ont encore Ă©tĂ© signalĂ©s comme insuffisants par des administrateurs sur le terrain â Fortinet travaille Ă des versions ultĂ©rieures (7.4.11, 7.6.6, etc.) pour corriger dĂ©finitivement le problĂšme.
𧯠đĄïž Recommandations pratiques de remĂ©diation
Pour les équipes sécurité, voici les tactiques immédiates à appliquer :
𧩠1. Appliquer les derniers correctifs
- Mettre à jour vers les versions citées ci-dessus dÚs que possible.
- Suivre les advisories Fortinet pour les versions ultĂ©rieures spĂ©cifiques au SSO.Â
đ 2. DĂ©sactiver FortiCloud SSO (immĂ©diat)
- Comme cette fonctionnalitĂ© est souvent activĂ©e par dĂ©faut via FortiCare, dĂ©sactive-la jusquâĂ ce que les correctifs soient stabilisĂ©s.
config system global set admin-forticloud-sso-login disable end - Cela empĂȘche lâattaque via messages SAML malveillants.Â
đ 3. Restreindre lâaccĂšs administratif
- Limiter lâaccĂšs de la management interface Ă des rĂ©seaux internes ou VPN.
- Utiliser des local-in-policy pour filtrer les adresses autorisĂ©es.Â
đ 4. Audit et rĂ©ponse aprĂšs compromission
- Si une compromission est suspectée :
- Restaurer la configuration Ă partir dâun backup sain.
- Changer toutes les clĂ©s dâaccĂšs, certificats et mots de passe dâadministration/VPN.
- Examiner les comptes administratifs rĂ©cemment crĂ©Ă©s.Â
đ§Ÿ đ En rĂ©sumĂ©
Les vulnĂ©rabilitĂ©s CVE-2025-59718 et CVE-2025-59719 (FG-IR-25-647) sont critiques et activement exploitĂ©es dans la nature, mĂȘme sur certaines installations patchĂ©es. Elles permettent Ă des attaquants non authentifiĂ©s de contourner le FortiCloud SSO via des messages SAML truquĂ©s, dâaccĂ©der Ă des appareils et dâen extraire les configurations.
La bonne nouvelle : des correctifs sont disponibles. La mauvaise : leur application doit ĂȘtre accompagnĂ©e de dĂ©sactivation du SSO, durcissement des accĂšs et audits post-incident rigoureux pour Ă©viter que lâinfrastructure ne devienne un vecteur dâaccĂšs profond dans ton rĂ©seau.
