MR - stock.adobe.com

Actualites

Fortinet : une vulnérabilité affecte le SSO des FortiGate malgré un patch

La vulnérabilité CVE-2025-59718 de contournement des mécanismes d’authentification SSO sur les systèmes FortiGate persiste, malgré les correctifs antérieurs. Et elle est activement exploitée.

Valéry Rieß-Marchive
par
Publié le: 22 janv. 2026

C’est l’histoire d’un patch qui ne patche pas vraiment. Début décembre dernier, Fortinet a publié une alerte au sujet de deux vulnérabilités permettant de contourner les mécanismes d’authentification des systèmes FortiGate, les CVE-2025-59718 et CVE-2025-59719.

L’équipementier proposait des correctifs dans la foulée. Car ces vulnérabilités pouvaient « permettre à un attaquant non authentifié de contourner la connexion SSO FortiCloud via un message SAML spécialement conçu, si cette fonctionnalité est activée sur l’appareil ».

Et de souligner que « la fonctionnalité de connexion SSO FortiCloud n’est pas activée dans les paramètres d’usine par défaut. Cependant, lorsqu’un administrateur enregistre l’appareil sur FortiCare à partir de l’interface graphique de l’appareil, à moins que l’administrateur ne désactive le bouton “Autoriser la connexion administrative à l’aide de FortiCloud SSO” dans la page d’enregistrement, la connexion SSO FortiCloud est activée lors de l’enregistrement ».

Mais ça, c’était début décembre. Plus d’un mois et demi plus tard, des administrateurs s’inquiètent. « Nous venons d’avoir une connexion SSO malveillante sur l’un de nos FortiGate fonctionnant sous 7.4.9 (FGT60F). […] Notre SIEM a détecté la création du compte administrateur local », relate l’un d’entre eux sur Reddit.

Selon lui, « l’équipe de développeurs Fortinet a confirmé que la vulnérabilité persiste ou n’est pas corrigée dans la version 7.4.10. L’équipe de développeurs a prévu un correctif dans les prochaines versions 7.4.11, 7.6.6 et 8.0.0 ».

De leur côté, les équipes d’Arctic Wolf indiquent observer, depuis le 15 janvier, une campagne « malveillante automatisée impliquant des modifications non autorisées de la configuration du pare-feu sur les appareils FortiGate. Cette activité comprenait la création de comptes génériques destinés à la persistance, des modifications de configuration accordant un accès VPN à ces comptes, ainsi que l’exfiltration des configurations du pare-feu ».

Et de recommander, à ce stade, de désactiver la fonctionnalité de connexion SSO FortiCloud.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)