Toutes les implémentations SAML SSO, y compris FortiCloud SSO, sont vulnérables au contournement de l’authentification et aux modifications de configuration malveillantes dues à des attaques sur une faille non corrigée.
Fortinet a confirmé qu’une nouvelle campagne d’attaque observée récemment contre les appareils des clients exploite un problème non corrigé pour contourner l’authentification. Les nouvelles attaques sont différentes d’une campagne précédente vue en décembre qui ciblait deux vulnérabilités liées à l’authentification unique (SSO) de FortiCloud.
« Récemment, un petit nombre de clients ont signalé une activité de connexion inattendue sur leurs appareils, qui semblait très similaire au problème précédent », a déclaré l’équipe de sécurité des produits Fortinet dans un article de blog. « Cependant, au cours des dernières 24 heures, nous avons identifié un certain nombre de cas où l’exploit concernait un appareil qui avait été entièrement mis à niveau vers la dernière version au moment de l’attaque, ce qui suggère une nouvelle voie d’attaque. »
Fortinet travaille actuellement à la résolution du nouveau problème, qui affecte non seulement FortiCloud SSO, mais également toutes les implémentations SAML SSO. Il convient de noter que FortiCloud SSO n’est pas activé par défaut sur les appareils, mais peut le devenir lorsqu’un administrateur enregistre l’appareil auprès du support produit FortiCare à partir de l’interface de gestion de l’appareil.
Rapports d’attaques similaires
Fortinet a corrigé deux problèmes de vérification de signature cryptographique inappropriés, CVE-2025-59718 et CVE-2025-59719, en décembre. Ces failles pourraient être exploitées pour contourner l’authentification sur les appareils sur lesquels FortiCloud SSO est activé en envoyant des messages SAML spécialement conçus.
Peu de temps après la publication des correctifs, les attaquants les ont procédé à une ingénierie inverse et ont lancé une campagne visant à extraire les fichiers de configuration des appareils vulnérables. Ces fichiers comprenaient des informations d’identification hachées pour d’autres comptes d’utilisateurs et des détails permettant le mappage du réseau.
Cette semaine, des chercheurs de la société de sécurité Arctic Wolf ont signalé avoir observé une nouvelle campagne d’attaque qui a débuté vers le 15 janvier, au cours de laquelle des attaquants ont également extrait des configurations de pare-feu, mais ont également utilisé leur accès pour créer de nouveaux comptes génériques et leur donner un accès VPN.
La société avait alors indiqué qu’elle ne savait pas si cette activité était liée aux deux vulnérabilités de décembre ou à une nouvelle vulnérabilité zero-day. Fortinet a désormais confirmé cette dernière.
Les failles de décembre ont affecté FortiOS, FortiWeb, FortiProxy et FortiSwitch Manager, il est donc raisonnable de supposer que le nouveau problème affecte les mêmes appareils.
Le billet du blog Fortinet fait référence aux mêmes indicateurs de compromission répertoriés dans le rapport Arctic Wolf, à savoir les comptes malveillants créés avec les adresses e-mail. cloud-init@mail.io et cloud-noc@mail.io. D’autres comptes administrateur sont créés avec les noms : audit, backup, itadmin, secadminet support.
Atténuation
Si ces IOC ou d’autres tels que les adresses IP sont identifiés dans les configurations ou les journaux des appareils, le système et sa configuration doivent être considérés comme compromis. Fortinet recommande de mettre à jour l’appareil avec la dernière version logicielle disponible, de restaurer une configuration à partir d’une sauvegarde propre et de permuter toutes les informations d’identification, y compris les comptes LDAP/AD pouvant être connectés aux appareils FortiGate.
Le paramètre « Autoriser la connexion administrative à l’aide de FortiCloud SSO » doit être désactivé, mais si des systèmes SSO tiers sont activés, ils peuvent toujours faire l’objet d’abus. L’accès administratif ne doit pas être activé depuis Internet pour les appareils en périphérie du réseau. C’est pourquoi Fortinet PSIRT a partagé une configuration de stratégie qui restreint l’accès à l’interface d’administration uniquement à des sous-réseaux spécifiques d’adresses IP.
