Identifiée début décembre et désormais activement exploitée, la vulnérabilité critique CVE-2025-59718 touche plusieurs produits Fortinet utilisant l’authentification FortiCloud SSO. Elle permet à un attaquant distant non authentifié de contourner la connexion et d’accéder aux consoles d’administration. Les éditeurs de sécurité, dont CrowdSec, alertent sur une intensification des tentatives d’exploitation, au moment même où la faille entre dans le catalogue KEV de la CISA.
Les alertes autour de CVE-2025-59718 ont rapidement pris une dimension opérationnelle. Publiée début décembre par Fortinet, la faille a d’abord été perçue comme un défaut d’implémentation dans la gestion des messages SAML utilisés pour l’authentification FortiCloud Single Sign-On. Très vite, les capteurs communautaires et les données remontées par plusieurs éditeurs de cybersécurité ont montré un basculement vers une exploitation active, avec des vagues d’identification puis de tentatives d’accès aux interfaces d’administration.
Le fait que la CISA ait ajouté CVE-2025-59718 à la liste des vulnérabilités activement exploitées renforce le signal d’alerte pour les équipes de sécurité. La faille concerne notamment FortiOS, FortiProxy et FortiSwitchManager lorsque la fonction FortiCloud SSO est utilisée. Fortinet a publié des correctifs et des recommandations précises. Mais l’expérience récente montre que de nombreuses organisations tardent à appliquer les mises à jour ou ignorent que la fonction SSO peut être restée active après enregistrement au service FortiCare. Le risque opérationnel devient alors direct.
Un accès ouvert aux consoles d’administration
CVE-2025-59718 repose sur une faille de validation des messages SAML. Un attaquant non authentifié peut envoyer une requête spécialement forgée et tromper le mécanisme d’authentification FortiCloud SSO pour obtenir un accès administratif. Cela concerne des équipements critiques dans l’architecture réseau des entreprises, car il ne s’agit pas d’un simple service périphérique mais bien des consoles de gestion de pare-feu, de proxies ou de plateformes d’administration. Autrement dit, un attaquant qui exploite cette vulnérabilité se retrouve immédiatement en position de contrôle. Les scénarios redoutés incluent la modification des règles de sécurité, l’ouverture de portes dérobées, la désactivation de protections ou la création de comptes persistants.
Fortinet précise que la fonction FortiCloud SSO n’est pas activée par défaut, ce qui limite en théorie la surface d’exposition. Cependant, l’inscription des équipements à FortiCare peut activer l’option si elle n’est pas explicitement désactivée par les administrateurs. Dans la pratique, cela signifie que certaines organisations pensent ne pas être exposées alors qu’elles le sont. Les correctifs publiés couvrent les versions récentes de FortiOS et des produits associés, avec des mises à jour recommandées vers 7.6.4, 7.4.9, 7.2.12 et 7.0.18 selon les branches. Les éditeurs de sécurité recommandent également d’auditer les journaux d’authentification, de surveiller toute tentative suspecte et, en cas de doute, de réinitialiser les identifiants administrateurs.
Les fragilités structurelles des authentifications fédérées
L’affaire CVE-2025-59718 dépasse le seul cas Fortinet. Elle rappelle une réalité déjà bien documentée par la communauté sécurité. Les mécanismes d’authentification fédérée, et notamment ceux reposant sur SAML, apportent un confort de gestion indéniable mais introduisent une dépendance forte à des chaînes de confiance complexes. Chaque maillon incorrectement implémenté peut devenir une porte d’entrée critique. La multiplication des scénarios d’attaque exploitant des messages SAML mal formés, ou des défauts de validation côté fournisseur, confirme que ces couches d’identité deviennent des cibles privilégiées. Dans le cas présent, l’attaque contourne complètement les principes habituels de défense périmétrique. Elle frappe au cœur du contrôle administratif.
Pour les directions informatiques et les responsables sécurité, ce type d’incident incite à réévaluer plusieurs axes. D’abord la gestion des dépendances entre authentification locale, identités fédérées et services cloud associés aux équipements de sécurité. Ensuite la discipline de mise à jour, qui reste souvent décalée par rapport au rythme réel d’exploitation des failles. Enfin la capacité à détecter rapidement les signaux faibles dans les journaux d’accès. À court terme, l’application des correctifs et la désactivation temporaire du SSO lorsque cela est possible constituent la priorité. À moyen terme, la question de la robustesse des architectures d’identité redevient stratégique pour la continuité opérationnelle.
Un rappel sévère pour ceux qui tardent à patcher
Le fait que CVE-2025-59718 soit désormais classée parmi les vulnérabilités activement exploitées signifie que la période d’alerte théorique est terminée. Les acteurs malveillants ont intégré la faille dans leurs campagnes. Cela implique une contrainte directe pour les entreprises clientes. Il ne s’agit plus d’une menace hypothétique, mais d’un risque concret pouvant conduire à des intrusions profondes, difficiles à détecter et coûteuses en remédiation. Les alertes émises par CrowdSec et d’autres acteurs de la communauté sécurité soulignent d’ailleurs une augmentation mesurable des tentatives, ce qui confirme que la faille circule dans les environnements criminels.
Cette situation confirme aussi une tendance plus large. Les équipements de sécurité eux-mêmes deviennent des cibles prioritaires. Lorsqu’un attaquant prend le contrôle d’un pare-feu ou d’une plateforme de gestion, il accède à un niveau stratégique qui simplifie toutes les étapes suivantes de compromission. C’est pourquoi cette vulnérabilité doit être traitée sans délai. Les organisations capables de réagir vite limiteront l’exposition, renforceront la résilience et éviteront des interruptions d’activité aux conséquences financières et réputationnelles importantes.
