Les cybercriminels exploitent activement les failles d'authentification de Fortinet

Les vulnérabilités découvertes récemment dans l'authentification de Forticloud sont exploitées par les cybercriminels. Des chercheurs ont détecte des attaques sur des équipements Fortinet non-corrigés.

Les cybercriminels ne perdent pas de temps pour exploiter les vulnérabilités récemment révélées dans l'authentification des équipements Fortinet. Les chercheurs d'Arctic Wolf font état de tentatives récurrentes sur les pare-feux FortiGate de dernière génération depuis l’alerte lancée par le fournisseur. « Nous avons constaté des dizaines d'intrusions depuis le 12 décembre 2025 », a déclaré un porte-parole d'Arctic Wolf Labs. « Jusqu'à présent, l'activité semble être de nature opportuniste. Bien qu'il soit difficile d'estimer le nombre d'équipements directement vulnérables à cette faille, des centaines de milliers de dispositifs Fortinet sont accessibles sur l'internet public via des moteurs de recherche spécialisés. »

L'avis des experts indique que les administrateurs qui constatent des activités malveillantes dans leurs journaux doivent supposer que les identifiants de pare-feu hachés stockés dans les configurations exfiltrées ont été compromis et les réinitialiser « dès que possible ». Mardi, la CISA américaine a ajouté l'une des vulnérabilités référencée CVE-2025-59718 à son catalogue des brèches connues et exploitées (KEV). Entre autres, les pirates informatiques exploitant ces vulnérabilités pourraient accéder aux fichiers de configuration des équipements Fortinet afin d'accélérer la violation des contrôles de sécurité. Les failles de contournement de l'authentification, CVE-2025-59718 et CVE-2025-59719, se trouvent dans le système d'exploitation FortiOS qui motorise FortiWeb, FortiProxy et FortiSwitchManager. Si elles étaient exploitées, un attaquant pourrait contourner l'authentification de connexion FortiCloud SSO si cette fonctionnalité est activée sur le dispositif.

Une réactivité de Fortinet, mais aussi des pirates

Pour certains administrateurs, la fonctionnalité a peut-être été activée à leur insu. En effet, lorsque les administrateurs enregistrent des appareils à l'aide du portail d'assistance produit FortiCare, FortiCloud SSO est automatiquement activé, sauf s'ils désactivent le paramètre « Autoriser la connexion administrative à l'aide de FortiCloud SSO » sur la page d'enregistrement. Pour éviter d'être affectés, les administrateurs doivent désactiver la fonctionnalité de connexion FortiCloud, si elle est activée, puis mettre à jour le logiciel vers la dernière version avant de réactiver la fonction. « Fortinet a réagi rapidement pour corriger ces faiblesses qui rendent possible le contournement de l'authentification », s’est félicité Piyush Sharma, CEO de Tuskira, un fournisseur de plateformes de vulnérabilité. « Cependant, la vitesse à laquelle les acteurs malveillants exploitent les failles nouvellement découvertes continue de dépasser les cycles de correction traditionnels », s’est-il inquiété.

Selon lui, « cette célérité montre qu’il y a un besoin critique de systèmes d’agents IA qui fournissent une gestion continue et en temps réel de l'exposition et une réponse autonome aux menaces ». Il pointe aussi le fait que tout fichier de configuration qui aurait été exfiltré pourrait servir aux pirates informatiques pour cartographier l'architecture du réseau et identifier les interfaces vulnérables et les points de défaillance à utiliser dans le cadre de campagnes d'attaques ciblées ou d'exploitation. De plus, les mots de passe faibles pourraient être piratés hors ligne et utilisés par les attaquants pour se faire passer pour des utilisateurs légitimes et se déplacer latéralement à travers les réseaux. « La combinaison de ces informations ouvre la voie à des cyberattaques potentiellement dangereuses et très précises, qui pourraient conduire au vol de données, voire à la compromission totale du réseau », a-t-il mis en garde. « Les entreprises vulnérables qui n'ont pas encore appliqué les correctifs publiés par Fortinet devraient le faire immédiatement », a-t-il insisté. « De même, toutes les entreprises devraient mettre en pratique la rotation des identifiants et appliquer les principes du moindre privilège afin d'éviter toute fuite inutile de données », a-t-il recommandé. Au-delà des conseils de Fortinet concernant la mise à niveau du logiciel de ses appareils, Arctic Wolf invite également les administrateurs à suivre les meilleures pratiques du fabricant pour renforcer la sécurité de ses équipements.