Arctic Wolf affirme que la révélation de failles d’authentification la semaine dernière conduit à des attaques sur des appareils Fortinet non corrigés.
Les acteurs malveillants ne perdent pas de temps à profiter des vulnérabilités récemment révélées dans l’authentification des appareils Fortinet.
Les chercheurs d’Arctic Wolf ont déclaré avoir constaté des tentatives malveillantes d’authentification unique (SSO) tentant d’exploiter les failles des pare-feu FortiGate de nouvelle génération depuis que Fortinet a alerté les administrateurs de ces vulnérabilités le 9 décembre.
L’avis d’Arctic Wolf indique que les administrateurs qui constatent des activités malveillantes dans leurs journaux doivent supposer que les informations d’identification hachées du pare-feu stockées dans les configurations exfiltrées ont été compromises et réinitialiser ces informations d’identification « dès que possible ».
Mardi, l’Agence américaine de cybersécurité et de sécurité des infrastructures a ajouté l’une des vulnérabilités, CVE-2025-59718, à son catalogue de vulnérabilités exploitées connues (KEV). Si une faille est répertoriée dans le catalogue, les agences exécutives civiles fédérales doivent immédiatement remédier au produit ou au service concerné. CISA affirme que toute liste devrait également être considérée par les services informatiques du secteur privé comme un avertissement leur permettant de donner la priorité à leurs propres mesures correctives ou correctifs.
Entre autres choses, les pirates exploitant ces vulnérabilités pourraient accéder aux fichiers de configuration des appareils Fortinet pour accélérer une violation des contrôles de sécurité.
Les vulnérabilités de contournement d’authentification, CVE-2025-59718 et CVE-2025-59719, se trouvent dans le système d’exploitation Fortinet FortiOS qui exécute les appareils FortiWeb, FortiProxy et FortiSwitchManager. S’ils sont exploités, ils peuvent permettre à un attaquant non authentifié de contourner l’authentification de connexion FortiCloud SSO, si cette fonctionnalité est activée sur l’appareil.
Pour certains administrateurs, il a peut-être été activé sans le savoir ; Lorsque les administrateurs enregistrent des appareils à l’aide du portail de support produit FortiCare, FortiCloud SSO est automatiquement activé, sauf s’ils désactivent le paramètre « Autoriser la connexion administrative à l’aide de FortiCloud SSO » sur la page d’enregistrement.
Pour éviter d’être affectés par cette vulnérabilité, les administrateurs doivent désactiver la fonctionnalité de connexion FortiCloud, si elle est activée, puis mettre à niveau le logiciel vers la dernière version avant de réactiver la fonction.
Fortinet a agi rapidement pour corriger les vulnérabilités de contournement d’authentification, a déclaré Piyush Sharma, PDG de Tuskira, un fournisseur de plateforme de vulnérabilité.
« Cependant », a-t-il ajouté, « la vitesse à laquelle les acteurs malveillants exploitent les failles nouvellement découvertes continue de dépasser les cycles de correctifs traditionnels, soulignant le besoin critique de systèmes d’IA agentique qui assurent une gestion continue et en temps réel de l’exposition et une réponse autonome aux menaces. »
Il a noté que tous les fichiers de configuration exfiltrés pourraient permettre aux pirates de cartographier l’architecture du réseau et d’identifier les interfaces vulnérables et les points de défaillance à utiliser dans des campagnes d’attaque ou d’exploitation ciblées, et que les mots de passe faibles pourraient être piratés hors ligne et permettre aux attaquants de se faire passer pour des utilisateurs légitimes et de se déplacer latéralement à travers les réseaux. « La combinaison de ces informations ouvre la voie à des cyberattaques potentiellement dangereuses et très précises, qui pourraient conduire au vol de données ou même à une compromission totale du réseau », a-t-il prévenu.
Les organisations vulnérables qui n’ont pas implémenté les correctifs publiés par Fortinet devraient le faire immédiatement, a-t-il déclaré.
De plus, toutes les organisations devraient pratiquer la rotation des informations d’identification et mettre en œuvre les principes du moindre privilège pour empêcher les fuites inutiles de données, a-t-il ajouté.
En plus de suivre les conseils de Fortinet sur la mise à niveau du logiciel de ses appareils, Arctic Wolf exhorte également les administrateurs à suivre les meilleures pratiques du fabricant pour renforcer ses appareils.
