La campagne FortiBleed expose 75 000 pare-feu Fortinet dans le monde

Une campagne massive de compromission des informations d’identification, baptisée « Fortibleed », a révélé des dizaines de milliers d’appareils Fortinet dans le monde, les chercheurs mettant en garde contre l’accès persistant des attaquants aux environnements d’entreprise affectés.

La campagne a été signalée pour la première fois par le chercheur en sécurité Volodymyr Diachenko, qui a publié sur LinkedIn la découverte d’une liste contrôlée par des attaquants de mots de passe FortiGate potentiellement fonctionnels, collectés « par divers moyens ».

D’autres détails sont venus de SOCRadar après que son équipe a découvert de manière indépendante un serveur opérationnel, qui appartenait à un acteur malveillant anonyme et contenait une liste de mots de passe FortiGate volés, des outils, une infrastructure d’automatisation, une liste de victimes et des informations révélatrices sur qui pourrait être à l’origine de l’attaque.

« L’attribution est en cours, mais les empreintes opérationnelles sont claires », ont déclaré les chercheurs de SOCRadar dans un article de blog, ajoutant que les choix d’outils et de ciblage sont cohérents avec ceux des acteurs de la menace russophones.

Selon des analyses indépendantes, notamment celles de SOCRadar, Hudson Rock et du chercheur en sécurité Kevin Beaumont, les auteurs de la menace ont systématiquement collecté les fichiers de configuration des pare-feu Fortinet FortiGate accessibles sur Internet et les ont utilisés pour récupérer les informations d’identification d’administrateur en état de marche. Le vecteur d’accès initial est actuellement inconnu.

Le PDG de watchTowr, Benjamin Harris, a déclaré que la campagne était cohérente avec ce qu’il a vu ces derniers temps. « La réalité inconfortable est que l’exploitation moderne n’a pas toujours un impact immédiat », a-t-il déclaré. « Il s’agit de récolter des données qui conservent leur valeur longtemps après que la vulnérabilité sous-jacente ait été corrigée. »

Ces informations d’identification ont probablement été accumulées au fil du temps en exploitant de nombreuses vulnérabilités affectant les applications Fortinet sensibles et externes, a-t-il ajouté.

Mots de passe piratés, portée mondiale

Alors que SOCRadar avait initialement signalé que l’ensemble de données contenait des informations de connexion fonctionnelles pour plus de 30 791 appareils, une analyse plus approfondie réalisée par Beaumont et Hudson Rock a placé le nombre d’appareils concernés à 75 000, soit environ 50 % du total des pare-feu Fortinet accessibles sur Internet trouvés sur Shodan.

Les chercheurs ont découvert les appareils concernés dans 194 pays, couvrant plus de 21 000 domaines.

L’ensemble de données contiendrait un mélange d’informations d’identification administratives et VPN SSL récupérées à partir de fichiers de configuration compromis. Les chercheurs ont déclaré que l’opération est hautement automatisée, permettant aux acteurs malveillants de collecter, traiter et pirater des informations d’identification à très grande échelle.

SOCRadar a découvert que les pays les plus touchés étaient l’Inde, les États-Unis et le Mexique, avec à eux deux un peu moins de 12 000 informations d’identification compromises. Une analyse par type d’informations d’identification a révélé que les informations d’identification spécifiques à l’organisation étaient les plus sondées, ce qui indique un ciblage d’entreprise.

Expliquant l’impact potentiel, Beaumont a déclaré que les acteurs de la menace « peuvent se connecter à distance et accéder à distance au pare-feu – et donc au réseau ». Ils peuvent également modifier les paramètres, y compris les contrôles de sécurité, et créer des utilisateurs par porte dérobée, a-t-il ajouté.

Anciens hachages, nouveaux problèmes

Une enquête plus approfondie sur la campagne a montré pourquoi certains déploiements Fortinet se sont révélés plus faciles à pirater que d’autres.

Les chercheurs ont noté que de nombreux systèmes concernés stockaient les informations d’identification de l’administrateur à l’aide d’anciennes approches de hachage, nettement moins résistantes aux attaques de piratage de mots de passe hors ligne que les implémentations plus récentes.

« Fortinet a introduit le hachage de mot de passe basé sur PBKDF2 pour les informations d’identification d’administrateur dans FortiOS 7.2.11, 7.4.8 et 7.6.1, remplaçant l’ancien mécanisme de stockage basé sur SHA-256 », ont expliqué les chercheurs d’Arctic Wolf dans un article de blog. « Cependant, lors de la mise à niveau à partir de versions antérieures, les mots de passe d’administrateur existants restent stockés sous forme de hachages SHA-256 jusqu’à ce que l’administrateur correspondant se connecte avec succès après la mise à niveau. »

Cela pourrait amener de nombreuses organisations à continuer de stocker les informations d’identification des administrateurs en utilisant l’ancien SHA-256 avec des mécanismes de hachage Salt, ont-ils noté.

Les défenseurs doivent assumer l’exposition des informations d’identification

Les chercheurs ont exhorté les organisations à supposer que les informations d’identification contenues dans les fichiers de configuration FortiGate exposés ont été compromises et à alterner immédiatement les mots de passe administratifs et VPN concernés.

Des recommandations supplémentaires incluent l’application de l’authentification multifacteur (MFA), la restriction de l’accès Internet aux interfaces de gestion et l’examen des appareils à la recherche de signes d’accès non autorisé.

La mise à niveau vers les versions FortiOS prises en charge et le remplacement des mots de passe plus faibles ou réutilisés ont également été conseillés. « Après la mise à niveau de FortiOS, demandez à tous les administrateurs de se connecter au pare-feu au moins une fois : cela définira automatiquement le cryptage sur PBKDF2 », ont indiqué les chercheurs.

Les mots de passe administrateur peuvent également être mis à jour manuellement à l’aide d’un compte super_admin, ont-ils noté.