Depuis mi-janvier, des pare-feu FortiGate sont visés par une campagne automatisée mêlant export de configuration, création de comptes et accès à distance. Un mode opératoire qui rappelle la vague d’attaques observée en décembre, sur fond de failles SSO et de patch à l'efficacité questionnée.
Nouvelle zone de turbulences pour les pare-feu FortiGate. Depuis le 15 janvier, les chercheurs d’Arctic Wolf disent observer une campagne d’attaques automatisées, avec un enchaînement très rapide entre l’accès initial, les modifications de configuration et l’exfiltration de données sensibles. Or début décembre, Fortinet avait déjà communiqué sur deux vulnérabilités critiques de contournement d'authentification liées à FortiCloud SSO et diffusé un patch en conséquence. Mais d'après les traces relevées par Arctic Wolf, il se pourrait que ce correctif n'ait pas totalement joué son rôle.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une campagne éclair, sur fond de déjà-vu
Dans son rapport, Arctic Wolf décrit une vague d’opérations malveillantes très resserrées, parfois bouclées en quelques secondes. Après une compromission des pare-feu FortiGate, les attaquants en exportent la configuration via l’interface d’administration, puis créent des comptes génériques aux noms passe-partout et aux privilèges élevés afin de conserver des accès dans la durée. Des paramètres sont ensuite modifiés pour autoriser des connexions à distance, notamment via VPN.
Le plus embêtant dans cette affaire tient au fait que cette séquence ne se limite pas à une intrusion ponctuelle. En exfiltrant une configuration de ce type et en installant des accès persistants, les attaquants récupèrent une photographie très précise du réseau protégé derrière le pare-feu et se donnent la possibilité d’y revenir pour mener d’autres attaques plus ciblées, y compris si la vulnérabilité exploitée au départ est ensuite corrigée.
Il faut également préciser qu’on retrouve ici un schéma déjà observé il y a quelques semaines. Début décembre, Fortinet avait en effet alerté sur deux failles critiques (CVE-2025-59718 et CVE-2025-59719) liées à FortiCloud SSO, une fonction qui permet de se connecter à l’interface d’administration via un service d’authentification externe, et avait diffusé des correctifs dans la foulée. L’alerte initiale décrivait des attaques du même ordre, avec des connexions administrateur suivies presque immédiatement d’un export de configuration et de changements destinés à conserver des accès.
Or, il se trouve que les traces relevées en janvier présentent de fortes similitudes avec les incidents remontés le mois dernier. Arctic Wolf précise cependant qu’il n’est pas encore possible de déterminer avec certitude comment les attaquants parviennent à accéder aux pare-feu. En clair, impossible de dire pour l’instant s’ils contournent le patch diffusé en décembre, ou s’ils exploitent une autre faiblesse dans le même périmètre.
Des mesures de prudence en attendant une réponse plus claire
Dans l’immédiat, Arctic Wolf recommande de suivre de près les communications de Fortinet et d’appliquer sans tarder toute mise à jour de sécurité supplémentaire.
Dans le même temps, les chercheurs ont mis à disposition sur leur site des indicateurs de compromission associés à cette campagne, afin de repérer des connexions administrateur suspectes, des exports de configuration et la création de comptes génériques. Si ce type de traces apparaît dans vos logs, il faut partir du principe qu’une configuration a pu être exfiltrée et que des accès persistants ont été mis en place, donc réinitialiser rapidement les identifiants et contrôler les comptes administrateurs.
En attendant davantage de précisions sur le vecteur d’attaque, vous pouvez aussi désactiver temporairement la connexion admin via FortiCloud SSO lorsque la fonctionnalité est activée. Il s’agit surtout ici de réduire la surface d’exposition tant que le mode de compromission initial n’est pas clairement établi, même si cette précaution ne suffit pas à garantir, à elle seule, un blocage complet de l’activité observée.
Enfin, et quel que soit le fournisseur, l’accès à l’interface d’administration d’un pare-feu a tout intérêt à être strictement limité à des réseaux internes de confiance, plutôt que rester exposée sur Internet. Il s’agit de l’une des mesures les plus efficaces pour réduire le risque d’exploitation de masse, en particulier quand des campagnes automatisées ciblent spécifiquement ces consoles de gestion.
Source : Arctic Wolf
