Fortinet : configurations et identifiants de 15 000 systèmes FortiGate publiés

Un acteur malveillant se présentant sous le nom de Belsen Group a affirmé mardi avoir publié des adresses IP, des configurations et des identifiants de comptes relatifs à plus de 15 000 instances de pare-feu Fortinet FortiGate compromises.

L’acteur malveillant en question a publié les données sur un forum notamment fréquenté par de nombreux cybercriminels « afin de consolider le nom de notre groupe dans votre mémoire », selon le message du forum. Les données sensibles concernent plus de 15 000 organisations des secteurs public et privé qui auraient été compromises via leurs pare-feu FortiGate. Plus de 400 organisations en France seraient concernées.

La façon dont l’acteur malveillant a acquis les données n’a été établie, pas plus que leur authenticité ; le groupe Belsen est un acteur malveillant qui ne s’était pas précédemment révélé au grand jour.

Cependant, Kevin Beaumont, chercheur en sécurité et praticien de longue date, a publié mercredi un billet sur son blog Medium à propos de cette fuite où il affirme avoir « pu vérifier que ce fichier est réel, car les appareils qu’il contient sont répertoriés sur Shodan et partagent les mêmes numéros de série uniques ». Selon lui, le fichier contient également des certificats numériques de gestion des appareils et « toutes les règles de pare-feu », ainsi que des mots de passe en clair.

Kevin Beaumont indique avoir évalué, sur la base d’un dispositif dans une organisation victime où il a mené une réponse aux incidents, que ces données ont été obtenues via l’exploitation de la vulnérabilité CVE-2022-40684, une vulnérabilité 0day critique de contournement d’authentification. La faille, qui a été divulguée pour la première fois en octobre 2022, affecte le système d’exploitation FortiOS de Fortinet, le proxy web sécurisé FortiProxy et l’outil de gestion des commutateurs Ethernet FortiSwitch Manager. Selon Kevin Beaumont, les données qui ont fait l’objet de la fuite ont été collectées le même mois, bien qu’elles aient été publiées deux ans plus tard.

« Au moins une partie des données divulguées provient d’incidents survenus en 2022, au cours desquels les pare-feu des clients ont été compromis. »

Dans un billet de blog publié jeudi, Caitlin Condon, directrice de la veille sur les vulnérabilités chez Rapid7, indique estimer également que certaines des données divulguées semblent liées à des attaques impliquant la vulnérabilité 0day de 2022 : « après avoir mené notre propre enquête auprès d’organisations potentiellement affectées, Rapid7 a également confirmé qu’au moins une partie des données divulguées provient d’incidents survenus en 2022, au cours desquels les pare-feu des clients ont été compromis ». Dès lors, « sur la base de l’analyse de Kevin Beaumont et des observations issues de nos propres investigations, il est probable que la fuite de données publiée par l’acteur malveillant contienne principalement ou entièrement des données plus anciennes ».

Les vulnérabilités inédites, dites 0day, et les attaques les exploitant sont devenues monnaie courante pour Fortinet au cours des dernières années, les produits de l’éditeur étant devenus des cibles privilégiées pour les cybercriminels et les acteurs malveillants des États-nations.

En début de semaine, Fortinet a dévoilé une nouvelle vulnérabilité critique de contournement d’authentification dans FortiOS et FortiProxy (CVE-2024-55591) qui a été exploitée. En novembre, Volexity a signalé qu’un acteur soutenu par l’État chinois avait exploité une vulnérabilité Fortinet alors non divulguée, bien que le problème ait été signalé à l’équipementier en juillet. En octobre, Mandiant a publié une étude indiquant qu’une vulnérabilité critique, répertoriée sous le nom de CVE-2024-47575, divulguée en début de semaine, avait été exploitée depuis au moins la fin du mois de juin.