Décidément Fortinet a du mal à corriger son système d’authentification. En effet, la société spécialisée en sécurité vient d’avertir ses clients sur une nouvelle campagne d’attaque exploitant une faille non corrigée pour contourner l’authentification des équipements du fournisseur. Ces offensives différent de celles de décembre qui s’appuyaient sur des vulnérabilités liées à SSO (single sign-on) de Forticloud. « Dernièrement, un petit nombre de clients ont signalé des activités de connexion inattendues sur leurs terminaux, qui semblaient très similaires à la campagne précédente », a déclaré l'équipe de sécurité des produits Fortinet dans un blog.

Elle ajoute, « cependant, au cours des dernières 24 heures, il est apparu que dans un certain nombre de cas, l'exploitation concernait un équipement qui avait été entièrement mis à jour vers la dernière version au moment de l'attaque, ce qui suggère une autre voie d'attaque ». La société a indiqué travailler sur la résolution du problème, qui affecte non seulement FortiCloud SSO, mais toutes les implémentations SAML SSO. Il convient de noter que ce service n’est pas activé par défaut sur les terminaux, mais qu’il peut l’être quand un administrateur enregistre l’équipement auprès du support produit FortiCare depuis l’interface de gestion.

Signalements d'attaques similaires

En décembre, Fortinet avait corrigé deux failles de vérification de signature cryptographique incorrecte, référencées respectivement CVE-2025-59718 et CVE-2025-59719. Celles-ci pouvaient être exploitées pour contourner l'authentification des équipements sur lesquels FortiCloud SSO était activé, en envoyant des messages SAML spécialement conçus. Peu après la publication des correctifs, des pirates ont procédé à leur rétro-ingénierie et lancé une campagne visant à extraire les fichiers de configuration des terminaux vulnérables. Ces fichiers contenaient des identifiants hachés pour d'autres comptes utilisateurs et des informations permettant de cartographier le réseau.

La semaine dernière, des chercheurs de l’entreprise de sécurité Arctic Wolf ont signalé avoir observé une autre campagne d'attaques qui a débuté vers le 15 janvier, dans le cadre de laquelle les pirates ont non seulement extrait les configurations des pare-feux, mais aussi utilisé leur accès pour créer des comptes génériques et disposer d’un accès VPN. L’entreprise avait alors indiqué ne pas savoir si cette activité était liée aux deux vulnérabilités découvertes en décembre ou à une nouvelle vulnérabilité zero-day. Fortinet a désormais confirmé cette dernière hypothèse. Les failles découvertes en décembre affectaient FortiOS, FortiWeb, FortiProxy et FortiSwitch Manager. Les chercheurs pensent pouvoir raisonnablement supposer que le dernier problème touche les mêmes outils. Dans son blog, Fortinet fait référence aux mêmes indicateurs de compromission que ceux répertoriés dans le rapport Arctic Wolf, à savoir des comptes malveillants créés avec les adresses de courriel cloud-init@mail.io et cloud-noc@mail.io. D'autres comptes administrateurs sont créés avec les noms suivants : audit, backup, itadmin, secadmin et support.

Des conseils d'atténuation

Si ces indicateurs de compromission (IoC) ou d'autres, tels que les adresses IP, sont identifiés dans les configurations ou les journaux de l'appareil, le système et sa configuration doivent être considérés comme compromis. Fortinet recommande de mettre à jour l’équipement avec la dernière version logicielle disponible, de restaurer une configuration à partir d'une sauvegarde propre et de renouveler toutes les informations d'identification, y compris les comptes LDAP/AD qui peuvent être connectés aux appareils FortiGate.

Le paramètre « Autoriser la connexion administrative à l'aide de FortiCloud SSO » (Allow administrative login using FortiCloud SSO) doit être désactivé, mais si des systèmes SSO tiers sont activés, ils peuvent toujours faire l'objet d'abus. L'accès administratif ne doit pas être activé depuis Internet pour les appareils en périphérie du réseau. Fortinet PSIRT a donc partagé une configuration de politique qui limite l'accès à l'interface d’administration à des sous-réseaux d'adresses IP spécifiques.