Une campagne active cible les FortiGate pour extraire des credentials LDAP et infiltrer les réseaux santé, gouvernement et MSP. 14 700 équipements déjà compromis dans le monde.
En bref
- Une campagne active exploite les appliances FortiGate NGFW pour extraire des fichiers de configuration contenant des credentials LDAP chiffrés.
- Les secteurs santé, gouvernement et MSP sont spécifiquement ciblés via des CVE connues et des erreurs de configuration.
- Environ 14 700 FortiGate compromis sont répertoriés dans une base opérationnelle utilisée par un groupe RaaS.
Les faits
Des chercheurs en cybersécurité ont mis en lumière fin mars 2026 une campagne d envergure exploitant les pare-feux FortiGate Next-Generation Firewall comme vecteur d intrusion initial. Les attaquants exploitent des vulnérabilités récemment divulguées — notamment CVE-2025-59718, CVE-2025-59719 et CVE-2026-24858 — ainsi que des erreurs de configuration et des credentials faibles pour accéder aux équipements. Une fois l accès obtenu, ils extraient les fichiers de configuration contenant les credentials de comptes de service LDAP chiffrés ainsi que la topologie réseau complète.
Selon The Hacker News, la phase suivante de l attaque a été détectée en février 2026 : dans un cas documenté, les attaquants sont passés rapidement de l accès au pare-feu au déploiement d outils d accès distant comme Pulseway et MeshAgent. Des téléchargements de malware via PowerShell depuis une infrastructure AWS ont également été observés. En parallèle, une opération de ransomware-as-a-service distincte maintient une base opérationnelle répertoriant environ 14 700 FortiGate déjà compromis à travers le monde.
Impact et exposition
Les secteurs santé, gouvernement et fournisseurs de services managés (MSP) sont les cibles principales identifiées. L extraction des credentials LDAP permet aux attaquants de pivoter latéralement dans le réseau Active Directory, d escalader leurs privilèges et d accéder aux données sensibles des patients, aux systèmes critiques des administrations ou aux environnements clients des MSP. Le fait que 14 700 équipements soient déjà répertoriés dans une base d exploitation active suggère une campagne industrialisée avec un potentiel de dégâts considérable. Les organisations qui n ont pas appliqué les correctifs Fortinet ou qui utilisent des credentials par défaut sont les plus exposées.
Recommandations
- Appliquer immédiatement les correctifs Fortinet pour CVE-2025-59718, CVE-2025-59719 et CVE-2026-24858.
- Effectuer une rotation de tous les credentials de comptes de service LDAP référencés dans la configuration FortiGate.
- Désactiver l accès d administration à distance sur les interfaces publiques et restreindre l accès aux IP de gestion autorisées.
- Rechercher la présence de Pulseway, MeshAgent ou tout outil de remote access non légitime sur le réseau interne.
- Auditer les fichiers de configuration FortiGate pour identifier toute extraction ou modification non autorisée.
Alerte critique
Avec 14 700 FortiGate déjà compromis dans le monde et des attaquants capables de pivoter en quelques heures vers le déploiement de ransomware, toute organisation utilisant ces équipements sans les derniers correctifs doit agir dans les 24 heures.
Comment vérifier si mon FortiGate a été compromis ?
Vérifiez les logs d accès administrateur pour des connexions depuis des IP inconnues. Contrôlez l intégrité de votre fichier de configuration en le comparant avec une sauvegarde de référence. Recherchez la présence d outils comme Pulseway ou MeshAgent sur vos postes et serveurs. Surveillez également les requêtes PowerShell sortantes vers des services de stockage cloud comme AWS S3 depuis votre réseau interne.
Les credentials LDAP extraits sont-ils exploitables malgré le chiffrement ?
Les credentials stockés dans les fichiers de configuration FortiGate utilisent un chiffrement réversible car le pare-feu doit pouvoir s authentifier auprès de l annuaire LDAP. Un attaquant disposant du fichier de configuration et de la clé de l appliance peut déchiffrer ces credentials. C est pourquoi la rotation immédiate des mots de passe des comptes de service est indispensable après une compromission suspectée.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu elles ne soient exploitées.
Demander un auditTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
n8n : CISA alerte sur une RCE exploitée, 24 700 instances exposées
CISA ajoute la faille RCE n8n CVE-2025-68613 à son catalogue KEV. 24 700 instances restent exposées sur Internet. Une seconde vulnérabilité CVE-2026-27577 aggrave le risque.
CVE-2026-20131 : Interlock exploite un zero-day Cisco FMC
Le ransomware Interlock exploite la faille critique CVE-2026-20131 (CVSS 10.0) dans Cisco Secure Firewall Management Center comme zero-day depuis janvier 2026. Correctif disponible, application urgente recommandée.
NIST renouvelle son guide de sécurité DNS après douze ans
Le NIST publie le SP 800-81r3, première mise à jour de son guide DNS en douze ans, faisant du DNS un pilier actif de la stratégie de cybersécurité.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire