Automated FortiGate Attacks Exploit FortiCloud SSO to Alter Firewall Configurations

1 minute de lecture

Mis à jour : January 22, 2026

Exploitation Automatisée des FortiGate via le SSO

Une campagne malveillante automatisée cible les pare-feux FortiGate, entraînant des modifications non autorisées de leur configuration. Cette menace, observée depuis le 15 janvier 2026, présente des similitudes avec une attaque précédente de décembre 2025.

Les attaquants exploitent des vulnérabilités dans la fonctionnalité de connexion unique (SSO) FortiCloud, permettant le contournement de l’authentification via des messages SAML spécialement conçus. Cette faille affecte les versions vulnérables de FortiOS, FortiWeb, FortiProxy et FortiSwitchManager.

L’activité observée comprend la création de comptes génériques pour assurer la persistance, la modification des configurations pour accorder un accès VPN à ces comptes, et l’exfiltration des configurations du pare-feu. Les attaques impliquent des connexions SSO malveillantes à un compte nommé “cloud-init@mail.io” depuis diverses adresses IP, suivies de l’exportation des fichiers de configuration du pare-feu via l’interface graphique. Des comptes secondaires (secadmin, itadmin, etc.) sont également créés pour maintenir l’accès. La rapidité des événements suggère une automatisation poussée.

Points Clés :

Nature de l’attaque : Modification non autorisée de la configuration des pare-feux FortiGate.
Vecteur d’attaque : Exploitation de la fonctionnalité SSO FortiCloud.
Objectifs : Persistance, obtention d’accès VPN, exfiltration de configurations.
Automatisation : Les actions s’enchaînent rapidement, indiquant une activité automatisée.

Vulnérabilités :

CVE-2025-59718
CVE-2025-59719 Ces deux vulnérabilités permettent le contournement de l’authentification SSO via des messages SAML lorsque la fonction FortiCloud SSO est activée.

Recommandations :

Désactiver le paramètre “admin-forticloud-sso-login”.
Il est conseillé de vérifier si les correctifs des vulnérabilités CVE-2025-59718 et CVE-2025-59719 ont été appliqués sur les systèmes concernés.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Automated FortiGate Attacks Exploit FortiCloud SSO to Alter Firewall Configurations

Exploitation Automatisée des FortiGate via le SSO

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)