Des pirates parviendraient à exploiter la faille de sécurité CVE-2025-59718 sur les firewalls FortiGate de chez Fortinet, y compris lorsque le patch de sécurité a été installé ! Voici ce que l'on sait sur cette menace potentielle.

Un nouvel article publié sur BleepingComputer rapporte que des administrateurs Fortinet signalent que des firewalls FortiGate sont compromis malgré l'application des derniers correctifs de sécurité. Plus précisément, les pirates parviendraient à contourner le correctif de la faille de sécurité CVE-2025-59718 patchée le 9 décembre 2025. Cela signifie qu'un firewall patché reste potentiellement vulnérable.

Pour rappel, cette vulnérabilité permet à un attaquant non authentifié de bypasser le mécanisme de connexion FortiCloud SSO, grâce à un message SAML forgé pour l'occasion. Il y a une condition importante préalable à l'exploitation de cette vulnérabilité : le SSO FortiCloud doit être activé sur l’équipement vulnérable.

Par défaut, ce n'est pas le cas. Néanmoins, l'enregistrement d'un équipement auprès du service technique FortiCare a pour effet d'activer automatiquement FortiCloud SSO sur l'équipement (sauf si vous décochez l'option au moment de l'enregistrement). Il peut donc s'avérer judicieux de vérifier votre configuration.

Comment se protéger ?

Le correctif de sécurité disponible actuellement ne suffirait pas, la situation est donc délicate. Au-delà de limiter l'exposition de votre firewall, il est judicieux de désactiver la fonctionnalité de connexion FortiCloud sur votre firewall FortiGate. C'est une action possible via l'interface web ou la ligne de commande.

: System > Settings > Désactivez l'option "Allow administrative login using FortiCloud SSO" Méthode n°2 : Connectez-vous en ligne de commande et lancez cette série de commandes

config system global set admin-forticloud-sso-login disable end

Actuellement, il y aurait plus de 11 000 firewalls FortiGate exposés sur Internet avec la fonction de FortiCloud SSO activée, dont 357 en France. Ces statistiques publiées par The ShadowServer permettent de voir que la tendance est à la baisse depuis la mi-décembre, où l'on comptait plus de 25 000 FortiGate dans cette situation.

Pour le moment, Fortinet n'a rien publié au sujet de cette alerte (le bulletin de sécurité de cette CVE est disponible sur cette page). Cet article sera mis à jour lorsque de nouvelles informations seront disponibles.

