Cela survient après que les données de configuration volées et les mots de passe d’un hack de deux ans ont été divulgués la semaine dernière.
Les administrateurs de réseaux avec le pare-feu de Next Generation de Fortinet dans leur environnement informatique sont avertis de scruter soigneusement les systèmes pour un éventuel compromis, après un vidage de la configuration volée de la semaine dernière et des références VPN par un acteur de menace.
« Le patch ne suffit pas », a tweeté jeudi le chercheur de cybersécurité Florian Roth. «Si vous prenez la sécurité au sérieux, vous devez exécuter une évaluation des compromis pour vérifier si l’appareil et d’autres systèmes de votre réseau ont déjà été violés.»
« Traitez cela comme l’incident de sécurité », a-t-il ajouté.
L’avertissement intervient après que Roth a effectué une analyse des données de configuration de l’appareil FortiGate volées publiées plus tôt ce mois-ci par un acteur de menace se faisant appeler le groupe Belsen. Ces données, affirmées être des paramètres de configuration pour 15 000 pare-feu, seraient d’une grande valeur pour les pirates.
Une fois que le gang a publié les données, il a été initialement examiné par le chercheur Kevin Beaumont, qui l’a trouvé comprenait des adresses IP, des mots de passe de l’appareil en texte clair et certaines adresses e-mail des utilisateurs ou de leurs organisations. Parmi les autres questions, ce vidage de données soulève la raison pour laquelle les administrateurs ont permis de stocker des mots de passe en texte clair dans un fichier de configuration.
Roth a regroupé les adresses e-mail par domaine de haut niveau pour aider les CISO et leurs équivalents pour voir si leurs organisations sont affectées. Cependant, il a averti que certains domaines peuvent être ceux des services de messagerie ou des prestataires de services gratuits travaillant pour les victimes réelles.
Beaumont a déclaré que les données avaient été volées par un acteur de menace exploitant CVE-2022-40684, un pontage d’authentification zéro jour en utilisant un autre chemin dans Fortios. Il pourrait permettre à un attaquant non authentifié d’effectuer des opérations via une interface administratrice via des demandes HTTP ou HTTPS spécialement conçues.
Selon Beaumont, le vidage des données de la semaine dernière comprenait des noms d’utilisateur, des mots de passe – certains en texte clair – des certificats numériques de gestion des appareils et toutes les règles de pare-feu.
Pour sa part, après que le groupe Belsen a publié les données volées la semaine dernière, Fortinet a déclaré que les données exposées avaient été capturées à partir d’une vulnérabilité en 2022 et agrégées pour ressembler à une nouvelle divulgation. « Notre analyse des appareils en question montre que la majorité a depuis longtemps mise à niveau vers des versions plus récentes », a déclaré la société.
La liste n’inclut aucune configuration pour Fortios 7.6 ou 7.4 (les versions les plus récentes du système d’exploitation de Fortinet), il a noté: «ni aucune configuration récente pour 7.2 et 7.0».
« Si votre organisation a constamment adhéré aux meilleures pratiques de routine dans les références de sécurité régulièrement rafraîchissantes et a pris les mesures recommandées au cours des années précédentes, le risque de configuration actuelle de l’organisation ou de détails sur la divulgation de l’acteur de menace est faible », a déclaré Fortinet. «Nous continuons de recommander fortement que les organisations prennent les mesures recommandées, si elles ne l’ont pas déjà fait, pour améliorer leur posture de sécurité.
«Nous pouvons également confirmer que les appareils achetés depuis décembre 2022 ou que les appareils qui n’ont fonctionné que Fortios 7.2.2 ou plus ne sont pas affectés par les informations divulguées par cet acteur de menace.»
Mais, le fabricant a ajouté: «Si vous dirigeiez une version touchée (7.0.6 et inférieure ou 7.2.1 et inférieur) avant novembre 2022 et que nous n’avons pas déjà pris les mesures recommandées dans le (octobre 2022), nous recommandons fortement Examiner les actions recommandées pour améliorer votre posture de sécurité. »
Les chercheurs de Censys pensent que un peu plus de 5 000 des 15 000 appareils FortiGate compromis exposent toujours leurs interfaces de connexion Web.
« Même si vous avez corrigé en 2022 », a écrit Beaumont, « vous avez peut-être toujours été exploité car les configurations ont été larguées il y a des années et que vous venez de sortir – vous voulez probablement savoir quand vous avez corrigé cette vulne. Avoir une configuration de périphérique complète, y compris toutes les règles de pare-feu, c’est… beaucoup d’informations. »
Bien que les données aient apparemment été collectées il y a un peu plus de deux ans, on ne sait pas pourquoi elle est publiée maintenant. Dans un poste la semaine dernière, analysant le dépotoir, les chercheurs de Censys ont noté que le groupe Belsen était nouveau. Il est possible que cet acteur de menace ait récemment acheté ou assemblé les données maintenant à vendre à partir du ou des pirates d’origine.
Censys estime également que, bien que des mesures aient pu être prises par les administrateurs de Fortigate il y a deux ans, après la découverte de la vulnérabilité: «Il est toujours pertinent et capable de causer des dommages. Les règles de configuration du pare-feu en particulier ont tendance à rester inchangées, sauf si un incident de sécurité spécifique provoque une mise à jour. Il est également pleinement possible, bien sûr, que certains de ces pare-feu ont changé de propriété dans l’intervalle, mais de tels cas sont également rares. »
