FortiGate : campagne active de vol de credentials ciblant

La veille cybersécurité permanente est devenue une nécessité opérationnelle pour les équipes de sécurité, permettant d'anticiper les nouvelles menaces, de prioriser les actions de remédiation et d'adapter les stratégies de défense en temps réel. L'actualité de la cybersécurité est marquée par une accélération sans précédent des menaces, des vulnérabilités et des incidents affectant organisations et particuliers à l'échelle mondiale. Les équipes de sécurité doivent maintenir une veille permanente pour anticiper les risques émergents, appliquer les correctifs critiques et adapter leurs stratégies de défense. Cette analyse décrypte les derniers événements marquants du paysage cyber et leurs implications concrètes pour la protection de vos systèmes d'information. À travers l'analyse de FortiGate : campagne active de vol de credentials , nous vous proposons un décryptage complet des enjeux et des solutions à mettre en œuvre.

Les faits

Des chercheurs en cybersécurité ont mis en lumière fin mars 2026 une campagne d envergure exploitant les pare-feux FortiGate Next-Generation Firewall comme vecteur d intrusion initial. Les attaquants exploitent des vulnérabilités récemment divulguées — notamment CVE-2025-59718, CVE-2025-59719 et CVE-2026-24858 — ainsi que des erreurs de configuration et des credentials faibles pour accéder aux équipements. Une fois l accès obtenu, ils extraient les fichiers de configuration contenant les credentials de comptes de service LDAP chiffrés ainsi que la topologie réseau complète.

Selon The Hacker News, la phase suivante de l attaque a été détectée en février 2026 : dans un cas documenté, les attaquants sont passés rapidement de l accès au pare-feu au déploiement d outils d accès distant comme Pulseway et MeshAgent. Des téléchargements de malware via PowerShell depuis une infrastructure AWS ont également été observés. En parallèle, une opération de ransomware-as-a-service distincte maintient une base opérationnelle répertoriant environ 14 700 FortiGate déjà compromis à travers le monde.

Impact et exposition

Les secteurs santé, gouvernement et fournisseurs de services managés (MSP) sont les cibles principales identifiées. L extraction des credentials LDAP permet aux attaquants de pivoter latéralement dans le réseau Active Directory, d escalader leurs privilèges et d accéder aux données sensibles des patients, aux systèmes critiques des administrations ou aux environnements clients des MSP. Le fait que 14 700 équipements soient déjà répertoriés dans une base d exploitation active suggère une campagne industrialisée avec un potentiel de dégâts considérable. Les organisations qui n ont pas appliqué les correctifs Fortinet ou qui utilisent des credentials par défaut sont les plus exposées.

Recommandations

• Appliquer immédiatement les correctifs Fortinet pour CVE-2025-59718, CVE-2025-59719 et CVE-2026-24858.
• Effectuer une rotation de tous les credentials de comptes de service LDAP référencés dans la configuration FortiGate.
• Désactiver l accès d administration à distance sur les interfaces publiques et restreindre l accès aux IP de gestion autorisées.
• Rechercher la présence de Pulseway, MeshAgent ou tout outil de remote access non légitime sur le réseau interne.
• Auditer les fichiers de configuration FortiGate pour identifier toute extraction ou modification non autorisée.