Près de 3000 serveurs VPN SSL Fortinet menacés en France

Tout a commencé sur le forum RAMP, lancé en juillet par un ancien opérateur du ransomware Babuk. Ce forum est positionné comme une réponse au bannissement des offres liées aux rançongiciels en mode service prononcé plus tôt par les administrateurs de plusieurs forums fréquentés par les cybercriminels, dans la foulée de l’attaque contre Colonial Pipeline, au mois de mai dernier : il doit fournir un espace dédié à ces offres.

C’est là qu’a été initialement mise à disposition une liste d’identifiants de comptes utilisateurs collectés sur des serveurs VPN SSL FortiGate, de Fortinet, précédemment affectés par la vulnérabilité CVE-2018-13379. Elle s’est rapidement retrouvé sur la vitrine des opérateurs du ransomware Groove.

Selon l’analyse d’Advintel, il faut compter là sur un total de 22 500 victimes. Les données concernent plus de 55 000 adresses IP. Dans le lot, la France figure en bonne position, quasiment à égalité des Etats-Unis : près de 2800 adresses IP pointant vers l’Hexagone, contre plus de 3300 pour le second.

Dans sa note d’information hebdomadaire sur l’état de la menace adressée à ses clients, Fortinet « réitère que, si à un moment, votre organisation a exploité l’une des versions affectées [par la vulnérabilité exploitée pour collecter ces identifiants, NDLR], et même si vous avez mis à jour vos équipements, vous devez également procéder à la réinitialisation recommandée des mots de passe, après la mise à jour ». Car sans cela, « vous pouvez rester vulnérables après la mise à jour, si les identifiants de vos utilisateurs ont été préalablement compromis ».

Plus loin, l’équipementier renouvelle ses recommandations : désactiver les accès VPN, puis mettre à jour les équipements, réinitialiser les mots de passe des comptes utilisateurs, et déployer l’authentification à facteurs multiples – « qui peut aider à réduire le risque de détournement d’identifiants compromis, aussi bien maintenant qu’à l’avenir ». Et de suggérer en outre de notifier les utilisateurs concernés pour les inviter à modifier leurs mots de passe au-delà au cas où ils auraient tendance à les réutiliser.