Fortibleed : les identifiants de 75 000 pare-feux Fortinet exposés

Une fuite de données, baptisée FortiBleed, a révélé une collection d'identifiants VPN Fortinet et Fortigate. Plus de 73 000 URL de pare-feux provenant d'entreprises du monde entier sont touchés.

Un chercheur en sécurité, Bob Dianchenko, a trouvé un serveur contenant des identifiants VPN Fortinet apparemment valides notamment des noms d'utilisateur, des adresses email et des mots de passe en clair. D’après les captures d’écran, la base de données contient des entrées pour des sociétés comme Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid et bien d'autres. En dehors des sociétés privées, les pirates ont compromis plusieurs organisations au Japon, à Taïwan, au Vietnam, en Irak et en Turquie.

Dans un message sur Linkedin, l’expert a montré un fichier comprenant 21 634 noms de domaine avec des identifiants fonctionnels pour les appliances Fortigate. Après une enquête plus approfondie, Bob Diachenko a indiqué que cette opération avait été menée par un groupe de cybercriminels russophones sans donner le nom. Les attaquants auraient mené environ 1,16 milliard de tentatives d'usurpation d'identité sur 320 777 cibles FortiGate et 2,1 milliards de tentatives supplémentaires sur 163 650 systèmes Microsoft SQL Server. Par ailleurs, ils auraient intercepté des hachages d’authentification VPN SSL et les auraient déchiffrés à l’aide d’un cluster de GPU.

Près de 75 000 pare-feux touchés

Le spécialiste de la Threat Intelligence Hudson Rock a aussi analysé la base de données. La société considère cette collection comme le plus important ensemble connu d’identifiants compromis liés à Fortinet. La base contient 73 932 URL de pare-feu uniques réparties dans 194 pays et affecte 21 632 domaines uniques. Un autre expert en cybersécurité Kevin Beaumont a confirmé la véracité de la fuite de données à nos confrères de Bleepingcomputer en évoquant le chiffre de 75 000 pare-feux compromis. Il indique par ailleurs que les données dérobées sont récentes sur des équipements fonctionnant avec les dernières versions de FortiOS.

Il reste encore des interrogations sur la méthode employée par les cyberattaquants pour subtiliser autant d’identifiants. Se sont-ils appuyés sur une faille connue ou une vulnérabilité encore non divulguée ? Une chose est sûre les organisations figurant dans l'ensemble de données doivent immédiatement modifier les mots de passe associés aux interfaces VPN et d'administration Fortinet, imposer l'authentification multifacteur (MFA), examiner les journaux de la passerelle à la recherche d'activités suspectes et surveiller les identifiants des employés exposés.