Avis de sécurité : Campagne « FortiBleed » - Compromission à grande échelle des appareils Fortinet

Des chercheurs ont récemment révélé l'existence d'une campagne à grande échelle, baptisée « FortiBleed », impliquant la compromission et la divulgation d'identifiants associés aux pare-feu FortiGate et aux dispositifs VPN SSL de Fortinet dans des environnements à l'échelle mondiale.

Contrairement aux vulnérabilités traditionnelles, FortiBleed ne correspond pas à un seul CVE ni à une faille « zero-day » confirmée. Il s’agit plutôt d’une campagne active d’exposition et d’exploitation d’identifiants, tirant parti à grande échelle d’identifiants réutilisés et potentiellement exposés.

L’origine précise des identifiants utilisés dans cette campagne n’a pas été confirmée. Cependant, cette activité correspond à des techniques de réutilisation et de collecte d’identifiants à grande échelle.

La campagne a été observée sur des dizaines de milliers de périphériques Fortinet connectés à Internet dans plus de 190 pays, touchant des organisations des secteurs des infrastructures critiques, des administrations publiques et des entreprises.

Cette activité met en évidence le risque lié à la réutilisation des identifiants, aux interfaces de gestion exposées et à l’insuffisance des contrôles d’authentification, en particulier sur les infrastructures périphériques telles que les passerelles VPN.

En quoi consiste cette campagne?

FortiBleed se caractérise par un modèle d’attaque hautement automatisé, combinant plusieurs techniques plutôt que de s’appuyer sur un seul exploit.

Les activités signalées ou observées associées à cette campagne comprennent :

• La réutilisation d’identifiants et le « credential stuffing » à l’aide de vastes ensembles de données contenant des identifiants connus ou exposés
• Un balayage massif d’Internet pour identifier les appareils Fortinet exposés
• Des tentatives d’authentification à grande échelle, notamment des attaques par force brute contre les interfaces VPN et administratives
• L'interception ou la collecte éventuelle de données d'authentification provenant de systèmes compromis
• La réutilisation d’identifiants nouvellement obtenus afin d’étendre potentiellement les droits d’accès

Dans de nombreux cas, la campagne semble s’appuyer sur des identifiants valides plutôt que d’exploiter une faille logicielle spécifique, ce qui la rend plus difficile à détecter via les processus traditionnels de gestion des vulnérabilités.

Portée et impact

Les informations rendues publiques indiquent ce qui suit :

• Jusqu’à environ 73 000 pare-feu Fortinet et terminaux VPN pourraient être associés à des identifiants exposés
• Plus de 30 000 appareils possèdent des identifiants fonctionnels vérifiés dans les bases de données des attaquants
• L'activité s'étend à 194 pays et touche aussi bien des organisations du secteur public que du secteur privé

Les systèmes concernés comprennent :

• les pare-feu FortiGate (cible principale)
• Les interfaces VPN SSL exposées à Internet
• Les portails de gestion administrative des appareils Fortinet

Une intrusion réussie pourrait permettre aux attaquants de :

• Obtenir un accès persistant aux périphériques de périphérie du réseau
• Surveiller et capturer le trafic réseau
• De récupérer des identifiants supplémentaires
• De s'introduire dans les systèmes internes, tels que les environnements Active Directory

Précision importante

Il est important de noter que :

• Dans de nombreux cas, la campagne semble s’appuyer sur des identifiants valides plutôt que sur une seule faille logicielle identifiée.
• L'analyse actuelle suggère que la campagne implique une réutilisation intensive d'identifiants, bien que les méthodes d'accès initiales précises puissent varier et ne soient pas entièrement confirmées.
• Certaines vulnérabilités Fortinet connues pourraient être exploitées de manière opportuniste, mais elles ne sont pas confirmées comme étant la cause première de la campagne

Activité malveillante

La campagne impliquerait :

• Une activité hautement automatisée, potentiellement capable de traiter de grands volumes de tentatives d’authentification
• Des analyses et des validations d’identifiants continues ou répétées sur des systèmes exposés
• La réutilisation d’identifiants compromis, ce qui pourrait permettre aux attaquants d’étendre leur accès au fil du temps

Certaines informations suggèrent que cette campagne serait le fait d’acteurs malveillants organisés et motivés par l’appât du gain, bien que l’attribution de la responsabilité fasse toujours l’objet d’une enquête.

Ce que cela signifie pour les organisations

FortiBleed témoigne d’une évolution vers :

• Des campagnes d’intrusion à grande échelle basées sur l’exploitation des identifiants
• Cibler en priorité les périphériques du périmètre réseau plutôt que les systèmes internes
• L'exploitation de failles liées à l'identité plutôt que, principalement, de failles logicielles

Les entreprises peuvent être exposées à des risques si elles :

• Exposent les interfaces de gestion Fortinet ou les portails VPN à Internet
• Réutilisent les mots de passe d’un système à l’autre ou ne procèdent pas à la rotation des identifiants
• N’imposent pas l’authentification multifactorielle (MFA)
• Manquent de visibilité sur les activités d’authentification sur les périphériques en périphérie du réseau

Comme des identifiants valides peuvent être utilisés, les compromissions peuvent apparaître comme des activités légitimes, ce qui retarde leur détection.

Mesures d'atténuation recommandées

1. Vérifiez si votre organisation est concernée

Effectuez une recherche sur les domaines, les adresses IP et les identifiants connus de votre organisation à l’aide de l’outil de vérification d’exposition Fortinet de Hudson Rock (https://www.hudsonrock.com/fortinet) ou d’autres outils externes fiables afin de déterminer s’ils figurent dans des ensembles de données identifiés publiquement et associés à cette campagne. En cas de correspondance, procédez à la réinitialisation des identifiants et à l’examen des journaux.

2. Changez immédiatement vos identifiants

• Réinitialisez les mots de passe de tous les appareils Fortinet et de tous les comptes administratifs
• Appliquez des politiques de mots de passe forts
• Évitez de réutiliser des identifiants ayant déjà été compromis

3. Mettez en place l’authentification multifactorielle (MFA)

• Appliquez l’authentification multifactorielle (MFA) à tous les accès VPN et administratifs
• Donner la priorité à la MFA pour les services exposés à Internet

4. Limiter l’exposition des interfaces de gestion

• Limitez l'accès aux portails d'administration Fortinet et aux terminaux VPN SSL
• Utiliser des listes d’adresses IP autorisées ou des restrictions d’accès VPN
• Éviter autant que possible l’exposition directe à l’Internet public

5. Surveiller l’activité d’authentification

• Vérifiez les journaux pour détecter :
  • Tentatives de connexion inhabituelles
  • Échecs d'authentification répétés
  • Connexions provenant de zones géographiques inattendues
• Enquêter sur tout comportement anormal des sessions

6. Rechercher des indicateurs de compromission

• Vérifier la présence de comptes non autorisés ou de modifications de configuration
• Surveiller le trafic sortant inhabituel provenant des appareils Fortinet
• Vérifier l’intégrité des configurations système

7. Appliquer les mises à jour de sécurité

Bien que FortiBleed ne soit pas lié à une seule vulnérabilité, assurez-vous que :

• Tous les systèmes Fortinet soient entièrement mis à jour
• que les vulnérabilités connues et exploitées soient corrigées

Résumé des risques

FortiBleed constitue une campagne d’attaques mondiale à fort impact, reposant sur l’utilisation d’identifiants, plutôt qu’un incident traditionnel lié à une vulnérabilité.

Comme elle peut s’appuyer sur des identifiants valides et des voies d’accès fiables, elle est capable de contourner de nombreux contrôles de sécurité conventionnels et de passer inaperçue pendant de longues périodes.

Les organisations doivent considérer cette activité comme un risque prioritaire pour la sécurité du périmètre réseau et prendre des mesures immédiates pour vérifier s’il existe des identifiants exposés ou des voies d’accès vulnérables au sein de leur environnement.

Si l’une des menaces décrites dans ce bulletin vous préoccupe ou si vous avez besoin d’aide pour déterminer les mesures à prendre afin de vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre chargé de compte ou nous contacterpour savoir comment protéger votre organisation.