Des pirates ont publié sur le dark web les identifiants de configuration et de connexion de 15 000 firewalls Fortinet FortiGate. Il s’agit de données plus anciennes qui ne sont pas liées à une récente faille de sécurité.
La semaine n’a pas été bonne pour les spécialistes de la sécurité de Fortinet. À peine un jour après que l’entreprise a fait état d’une faille de sécurité dans ses pare-feu FortiGate, une base de données contenant des fuites de données provenant de ces mêmes dispositifs a fait surface. Les données en question ont été saisies en 2022 et ne sont donc pas liées à la fuite la plus récente.
La base de données contient des données provenant de pas moins de 15 000 appareils FortiGate. Il s’agit notamment de données de configuration, d’adresses IP et d’informations de connexion VPN. Cette combinaison pourrait permettre aux pirates d’accéder librement aux réseaux des entreprises.
Mexique, Mexi-iiico
Le journal allemand Heise a passé les données au crible et a constaté que la plupart des appareils concernés provenaient du Mexique (1 603) et des États-Unis (679). Mais la fuite a également un impact sur les entreprises européennes. 208 des pare-feu affectés proviennent d’Allemagne. Aucun autre pays n’est mentionné.
Il est très inhabituel qu’une base de données de cette taille soit partagée gratuitement d’un seul coup. Les pirates informatiques ne partagent généralement qu’un « échantillon test » des données divulguées pour en prouver l’authenticité. Le groupe Belsen Group serait à l’origine de la fuite, selon Bleeping Computer. Il s’agit d’un nouveau nom dans le monde des pirates informatiques qui pourrait vouloir se mettre en avant avec cette action.
Anciennes données
Les données ont vraisemblablement été saisies en 2022 ou avant. En octobre 2022, Fortinet a déployé le correctif FortiOS 7.2.2 pour ses pare-feu afin de combler une faille de sécurité qui était activement exploitée à l’époque. Les experts soupçonnent que cette vulnérabilité (CVE-2022-40684) a été exploitée pour voler des données. Les pare-feu figurant dans la base de données fonctionnaient sur des versions plus anciennes du système d’exploitation.
lire aussi
Les données de 15 000 pare-feux FortiGate divulguées sur le dark web
Le fait qu’il s’agisse de données plus anciennes ne rend pas la fuite moins dangereuse. M. Heise a constaté que des dizaines d’adresses IP figurant dans la base de données sont encore accessibles. Combinée aux données de connexion des VPN, la base de données pourrait encore fournir aux pirates des informations utiles pour pénétrer les réseaux accessibles, si les données de connexion n’ont pas été modifiées depuis.
L’histoire risque de se répéter pour Fortinet. Cette semaine, l’entreprise a mis en garde contre une vulnérabilité critique dans les pare-feu FortiGate, qui est activement exploitée. Les vulnérabilités peuvent revenir comme un boomerang pour les fournisseurs de sécurité des années plus tard.