Voici les dernières nouvelles du front : les chercheurs en sécurité d’Arctic Wolf ont observé une vague d’attaques lors de laquelle les pirates créent des comptes administrateurs sur les firewalls Fortinet, avant d’exfiltrer la configuration. Il pourrait s’agir d’attaques automatisées. Voici ce que l’on sait.
Une offensive automatisée qui cible la CVE-2025-59718
Depuis le 15 janvier 2026, une nouvelle vague d’attaques prenant pour cible les équipements Fortinet, en particulier les firewalls FortiGate, a été observée. Il s’agirait de tentatives d’exploitation automatisée, car les différentes actions sont effectuées en quelques secondes.
“Cette activité impliquait la création de comptes génériques destinés à la persistance, des modifications de configuration accordant un accès VPN à ces comptes, ainsi que l’exfiltration des configurations de pare-feu.”, précise le rapport des chercheurs d’Arctic Wolf.
Cette campagne présenterait des similitudes avec une campagne observée en décembre 2025, au même moment où Fortinet a patché une faille de sécurité critique dans l’authentification FortiCloud SSO. Des informations circulent comme quoi les pirates parviendraient à contourner le correctif de la CVE-2025-59718.
Pour le moment, et puisque Fortinet n’a toujours pas communiqué la moindre information, le doute persiste quant à l’efficacité de ce correctif. De nombreux administrateurs rapportent des compromissions sur des équipements pourtant mis à jour. Dans le même temps, les attaques quant à elles sont réelles.
“On ne sait pas pour l’instant si la dernière activité malveillante observée est entièrement couverte par le correctif qui traitait initialement les vulnérabilités CVE-2025-59718 et CVE-2025-59719.”, peut-on lire.
Indicateurs de compromission et mesures de protection
Les analyses ont permis d’identifier des traces précises laissées par les pirates lors de ces attaques. Ce qui est suspect, c’est la création d’un administrateur dans la foulée d’une connexion SSO, en l’occurrence lorsque c’est associé à l’adresse email [email protected] ou à [email protected]. Les noms suivants sont mentionnés : secadmin, itadmin, support, backup, remoteadmin, audit.
Plusieurs adresses IP sont aussi associées à ces attaques, dont l’adresse IP 104.28.244[.]114 déjà identifiée comme à l’origine d’attaques par Arctic Wolf en décembre dernier. À cela s’ajoutent ces adresses IP : 104.28.244[.]115, 217.119.139[.]50 et 37.1.209[.]19.
Je vous rappelle que la recommandation immédiate pour vous protéger est de désactiver la fonctionnalité de connexion SSO via FortiCloud.
Méthode n°1 : System > Settings > Désactivez l’option “Allow administrative login using FortiCloud SSO”
Méthode n°2 : Connectez-vous en ligne de commande et lancez cette série de commandes
config system global
set admin-forticloud-sso-login disable
end
Puisque la version FortiOS 7.4.10, censée corriger la faille, ne semble pas totalement hermétique, Fortinet prévoirait de publier de nouvelles versions de FortiOS dans les prochains jours : 7.4.11, 7.6.6 et 8.0.0.
Si vous avez des informations, n’hésitez pas à me contacter.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.