Campagne massive contre les appliances Fortinet

La dépendance mondiale aux dispositifs Fortinet, utilisés comme points d'entrée sécurisés pour des milliers d'organisations, place ces appliances au cœur d'une campagne d'exploitation massive.

Une opération de grande envergure où des attaquants exploitent la surface d'attaque des pare-feux FortiGate et FortiED est en cours pour obtenir des accès privilégiés. L'ampleur de cette menace persistante cible les infrastructures de bordure critiques à l'échelle planétaire.

L'échelle de l'attaque est considérable. Selon les observations de Bob Diachenko, l'opération a traité 1,16 milliard de tentatives d'authentification contre 320 777 cibles FortiGate. Ces tentatives de force brute ne se limitent pas aux pare-feux ; elles ont également visé 163 650 serveurs MSSQL, totalisant 2,1 milliards d'essais.

L'étendue géographique des cibles est mondiale. Les données collectées par Hunt Intelligence, Inc. listent des milliers d'instances de fournisseurs de premier plan, incluant des noms de domaine tels que Chevron et Fortinet lui-même. Un seul des fichiers analysés contenait 21 634 noms de domaine, tous associés à des mots de passe potentiellement fonctionnels pour les appliances FortiGate.

Les attaquants, identifiés comme un groupe multi-opérateur russophone, emploient une approche sophistiquée de cassage de hachages. Le mécanisme d'attaque implique l'interception des sessions d'authentification VPN SSL.

Une fois les hachages obtenus à partir des configurations FortiGate, les attaquants les soumettent à un cluster de GPU avancé. Ce cluster, géré via Hashtopolis, permet de "casser les hachages sur « un cluster de 45 GPU » pour dériver les mots de passe en clair. Cette capacité de traitement intensif assure une extraction rapide et massive des identifiants.

Il n'est pas question là de la simple prise de contrôle d'un pare-feu. Le danger majeur réside dans le pivotement des attaquants. Une fois l'accès au périmètre établi via l'appliance compromise, les attaquants utilisent les mots de passe en clair pour se déplacer dans le réseau interne.

Ce déplacement leur permet de viser des environnements critiques, notamment les systèmes Active Directory. Les conséquences de cette campagne sont déjà documentées. Au moins quatre organisations dans des régions variées — Japon, Taïwan/Vietnam, Irak et Turquie — ont été entièrement compromises. Parmi elles, un sous-traitant de défense de l'OTAN en Turquie a vu des documents de défense classifiés exfiltrés, illustrant le passage de la vulnérabilité de périmètre à la compromission opérationnelle profonde.

HudsonRock a ouvert un outil de vérification de compromission, baptisé FortiBleed. Il présente toutefois une limite : son utilisation s'appuie sur les noms de domaine des victimes. Mais la grand majorité des déploiements de systèmes de bordure Fortinet ne révèle pas le nom de domaine de son possesseur.