Les pare-feu FortiGate de Fortinet sont la cible d’une fuite de données massive. Les données de près de 74 000 pare-feu dans le monde ont été rendues publiques.
Fortinet est confronté à une fuite de données massive chez ses clients. Les données de plus de 70 000 pare-feu auraient été exposées par des pirates présumés russes. Fortinet affirme que la fuite de données, baptisée « FortiBleed », n’est pas la conséquence d’une vulnérabilité ou d’un piratage de ses propres systèmes.
L’agence américaine de cybersécurité CISA a émis un avertissement officiel. « Des cyberacteurs malveillants ciblent les appareils Fortinet accessibles via Internet au sein d’organisations gouvernementales et privées, en utilisant des identifiants volés. Cette activité implique l’exposition d’identifiants ayant fuité », écrit l’organisation dans une déclaration publique.
FortiBleed
Les données divulguées ont été examinées pour la première fois par le chercheur en sécurité Bob Dianchenko, qui a tiré la sonnette d’alarme via LinkedIn. Il a découvert un serveur contenant les identifiants de 21 634 appareils FortiGate, notamment des noms d’utilisateur, des adresses e-mail et des mots de passe en texte clair. Ce premier lot n’est qu’un aperçu de l’ampleur de la fuite de données.
Plusieurs experts en sécurité ont mené des recherches et vérifient l’authenticité des données. Selon le chercheur en sécurité Kevin Beaumont, la majorité des pare-feu concernés sont toujours en ligne, ce qui indiquerait qu’il s’agit d’identifiants récents qui pourraient même encore fonctionner. Normalement, ces données ne sont accessibles qu’à partir des configurations.
74 000 pare-feu touchés
L’entreprise de sécurité HudsonRock a lancé un outil en ligne pour cartographier l’ampleur de la fuite. Via le « FortiBleed-tracker », vous pouvez vérifier si les URL et les domaines des pare-feu actifs dans votre organisation ont été compromis. Le compteur affiche pour l’instant 73 932 URL divulguées, provenant de 21 387 domaines et réparties dans 194 pays. HudsonRock parle déjà de l’une des plus grandes fuites de pare-feu de l’histoire.
De grands noms figurent dans la liste des domaines touchés. Spotify, Samsung, Sony, Oracle, Lenovo, Alibaba, Huawei, FedEx, Siemens et la maison mère française d’Orange seraient concernés. Le découvreur original, Diachenko, mentionne également une organisation turque sous contrat avec l’OTAN. La majorité des entreprises touchées se situent sur les continents américain et asiatique.
Pas de piratage
Diachenko pointe du doigt un acteur russe non identifié, qui collecte des identifiants hachés d’appareils FortiGate connectés à Internet et les craque à l’aide d’un cluster de GPU. Le chercheur le sait car les auteurs ont eux-mêmes laissé involontairement quelques documents sur le serveur. Si les identifiants divulgués sont effectivement encore opérationnels, les pirates pourraient les utiliser pour se connecter tout simplement.
La CISA demande aux organisations de mettre fin à toutes les sessions actives et de déconnecter les pare-feu d’Internet. Les données de journalisation permettent de détecter toute activité suspecte afin de supprimer les comptes non autorisés. Des conseils supplémentaires préconisent de sécuriser les mots de passe avec des algorithmes de hachage, de réinitialiser les mots de passe VPN et administratifs, ainsi que d’activer l’authentification multifactorielle (MFA) lorsque cela est possible.
Fortinet a réagi via Bleeping Computer en précisant que la base de données a probablement été constituée lors d’incidents antérieurs et par des attaques par force brute. Le fournisseur affirme avec certitude qu’il n’est pas question de failles « zero-day » exploitées, ni d’un piratage de ses propres systèmes. Fortinet conseille aux entreprises de renouveler régulièrement leurs identifiants de connexion, et de préférence le plus rapidement possible si les pare-feu de votre organisation sont touchés. Plus tôt cette semaine, Fortinet a signalé trois vulnérabilités dans sa solution FortiSandbox.
Cet article a été publié initialement le 18 juin et a été mis à jour avec les informations les plus récentes.