Numéro : AL25-019
Date : 15 décembre 2025
Mise à jour : 26 janvier 2026
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électroniques. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le Centre pour la cybersécurité est au courant de vulnérabilités critiques de contournement de l’authentification de connexion dans FortiCloud SSONote de bas de page 1 touchant des produits Fortinet lorsque cette fonction de connexion est activée. Pour faire suite au conseil du fournisseur, le Centre pour la cybersécurité a publié le bulletin de sécurité AV25-821Note de bas de page 2 le 9 décembre 2025.
Les vulnérabilités CVE-2025-59718Note de bas de page 3 et CVE-2025-59719Note de bas de page 4 peuvent permettre une vérification inappropriée de la vulnérabilité de signature cryptographique (CWE-347)Note de bas de page 5 ce qui donne la possibilité à une attaquante ou un attaquant non authentifié de contourner l’authentification de connexion FortiCloud SSO par le biais d’un message de réponse SAML.
Mise à jour 1
Le 22 janvier 2026, Fortinet a publié un article de blog d’urgence Note de bas de page 7 concernant de nouveaux cas d’exploitation sur des appareils ayant la fonctionnalité FortiCloud SSO activée. Bien que le correctif initial ait été installé, certains clients de Fortinet ont signalé une activité de connexion inattendue sur leurs appareils, semblable au problème précédemment observé. L’équipe de sécurité de Fortinet a identifié la cause du problème et travaille présentement sur un correctif pour le résoudre.
Il est important de noter que, même si l’exploitation observée jusqu’à présent concerne uniquement FortiCloud SSO, ce problème s’applique à toutes les implémentations SAML SSO dans les produits Fortinet.
Des indicateurs de compromission (IOC) ont été fournis dans l’article de blog de Fortinet.
Fin de la mise à jour
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations d’apporter des correctifs à leurs produits Fortinet pour les versions suivantes :
| Produit touché | Version touchée | Solution |
|---|---|---|
| FortiOS 7.6 | 7.6.0 à 7.6.3 | Mise à niveau à 7.6.4 ou version supérieure |
| FortiOS 7.4 | 7.4.0 à 7.4.8 | Mise à niveau à 7.4.9 ou version supérieure |
| FortiOS 7.2 | 7.2.0 à 7.2.11 | Mise à niveau à 7.2.12 ou version supérieure |
| FortiOS 7.0 | 7.0.0 à 7.0.17 | Mise à niveau à 7.0.18 ou version supérieure |
| FortiProxy 7.6 | 7.6.0 à 7.6.3 | Mise à niveau à 7.6.4 ou version supérieure |
| FortiProxy 7.4 | 7.4.0 à 7.4.10 | Mise à niveau à 7.4.11 ou version supérieure |
| FortiProxy 7.2 | 7.2.0 à 7.2.14 | Mise à niveau à 7.2.15 ou version supérieure |
| FortiProxy 7.0 | 7.0.0 à 7.0.21 | Mise à niveau à 7.0.22 ou version supérieure |
| FortiSwitchManager 7.2 | 7.2.0 à 7.2.6 | Mise à niveau à 7.2.7 ou version supérieure |
| FortiSwitchManager 7.0 | 7.0.0 à 7.0.5 | Mise à niveau à 7.0.6 ou version supérieure |
| FortiWeb 8.0 | 8.0.0 | Mise à niveau à 8.0.1 ou version supérieure |
| FortiWeb 7.6 | 7.6.0 à 7.6.4 | Mise à niveau à 7.6.5 ou version supérieure |
| FortiWeb 7.4 | 7.4.0 à 7.4.9 | Mise à niveau à 7.4.10 ou version supérieure |
S’il est impossible pour le moment d’apporter des correctifs, le Centre pour la cybersécurité recommande fortement aux organismes de suivre les conseils destinés aux clientes et clients de Fortinet relatifs aux mesures d’atténuationNote de bas de page 1, ce qui implique de désactiver temporairement la fonction de connexion FortiCloud (le cas échéant) jusqu’à la mise à niveau à une version non touchée.
De plus, le Centre pour la cybersécurité recommande fortement aux organismes d’étudier et de mettre en œuvre ses 10 meilleures mesures de sécurité des TI, en mettant l’accent sur ce qui suitNote de bas de page 6 :
- Appliquer des correctifs aux applications et aux systèmes d’exploitation
- Segmenter et séparer les informations
- Isoler les applications Web
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel contact@cyber.gc.ca.
Mise à jour 1
Mesures de mitigation recommandées :
- Désactiver FortiCloud SSO sur tous les appareils Fortinet.
- Empêcher tout accès administratif à distance aux appareils exposés à Internet.
- Utilisez un accès hors bande ou appliquez une politique locale pour restreindre les adresses IP accédant à l'interface administrative.
- Analyser les journaux et configurations à la recherche de signes de compromission à l’aide des IOC fournis.
- Consulter l’article de blog de Fortinet Note de bas de page 7 pour plus d’informations si des signes de compromission sont observés.
Fortinet mettra à jour l’article de blog dès qu’un avis complet sera disponible. Il est recommandé de surveiller la page PSIRT de Fortinet Note de bas de page 8 pour les mises à jour.
Fin de la mise à jour 1