Des pirates exploitent activement une vulnérabilité inconnue chez Fortinet

Des pirates exploitent activement une vulnérabilité inconnue chez Fortinet

Des criminels profitent de deux vulnérabilités critiques au sein de FortiCloud pour s’introduire dans les appareils et voler des données de configuration.

Deux vulnérabilités précédemment découvertes dans l’écosystème de Fortinet sont activement exploitées. Il s’agit de CVE-2025-59718 et CVE-2025-59719. Les deux bugs concernent FortiCloud SSO (single sign-on) et une manière incorrecte de traiter les signatures cryptographiques dans les messages SAML. Ils affectent FortiOS, FortiProxy, FortiSwitchManager et FortiWeb.

Préparation à d’autres attaques

Lorsque FortiCloud SSO est activé, les criminels peuvent exploiter les bugs. Par défaut, SSO n’est pas activé, mais cela change lorsque les administrateurs ajoutent leurs appareils Fortinet via l’interface utilisateur FortiCare.

Des chercheurs en sécurité d’Arctic Wolf ont constaté comment les pirates utilisent les bugs pour accéder aux comptes d’administrateur dans les environnements Fortinet. Une fois qu’ils ont obtenu un accès administrateur, ils téléchargent les fichiers de configuration du système via l’interface de gestion Web.

lire aussi

FortiWeb en proie à des vulnérabilités

Ces fichiers sont précieux pour d’éventuelles attaques ultérieures. Ils contiennent la disposition du réseau, des informations sur les solutions connectées à Internet, les politiques de pare-feu et même les mots de passe (hachés). Grâce à ces informations, les pirates peuvent se lancer dans des intrusions ciblées plus profondes dans les réseaux d’entreprise afin de causer davantage de dommages.

Mise à jour déjà disponible

Le 9 décembre, Fortinet a déjà averti ses clients des bugs et mis à disposition les mises à jour nécessaires. Comme souvent, les pirates exploitent donc des bugs pour lesquels un correctif existe déjà, qui, dans de nombreux cas, n’a pas encore été appliqué par les administrateurs.

Maintenant que les attaquants exploitent effectivement les vulnérabilités, le patching est plus important que jamais. Les versions suivantes du logiciel Fortinet sont sûres, les versions plus anciennes ne le sont pas :

  • FortiOS : 7.6.4+, 7.4.9+, 7.2.12+ et 7.0.18+
  • FortiProxy : 7.6.4+, 7.4.11+, 7.2.15+ et 7.0.22+
  • FortiSwitchManager : 7.2.7+ et 7.0.6+
  • FortiWeb : 8.0.1+, 7.6.5+ et 7.4.10+

Si la mise à jour ne fonctionne pas immédiatement pour une raison ou une autre, les administrateurs doivent désactiver temporairement la fonction de connexion de FortiCloud. Cela peut se faire via System et Settings où vous Allow administrative login using FortiCloud SSO doit être mis sur Off.