A photograph of a building with Fortinet

Le rapport sur les attaques de ransomware contre les pare-feu Fortinet révèle également des défenses possibles

Lucas Morel

Les administrateurs doivent réparer maintenant, mais la cybersécurité 101 pourrait avoir attrapé ou émoussé ces attaques.

Un nouveau gang de ransomware exploite rapidement deux vulnérabilités de contournement d’authentification dans les pare-feu de Fortinet, selon les chercheurs.

Les chercheurs de ForeScout ont décrit les attaques récentes du gang dans un rapport cette semaine, affirmant que le gang, qu’il surnombe Mora_001, profite des pare-feu non corrigées pour déployer une nouvelle souche de ransomware, surnommé Superblack, qui ressemble étroitement à Lockbit 3.0 (également appelé Lockbit Black).

Cependant, les descriptions des attaques par le rapport suggèrent que les défenseurs auraient pu détecter et émousser les attaques, bien que des mesures de cybersécurité de base, malgré le fait que les vulnérabilités peuvent être nuls et la preuve des attaques conceptuelles étaient rapidement disponibles pour menacer les acteurs.

Leçons pour les équipes de sécurité

Exemple 1: Dans les incidents étudiés par ForeScout, les pare-feu compromis avec succès ont fait exposer les interfaces de gestion à Internet.

Leçon: Désactiver l’accès à la gestion externe aux pare-feu chaque fois que possible.

Au 12 mars, a déclaré ForeScout, aux États-Unis, il y avait 7 677 dispositifs Fortigate avec des interfaces exposées, 5 536 en Inde et 3,201 au Brésil.

Exemple 2: Dans un incident, l’acteur de menace a créé un nouveau compte administrateur intitulé «Adnimistrator».

Leçon: Surveiller tous les comptes de l’administrateur pour les modifications. Sachez combien il y a de comptes d’administration pour toutes les applications et appareils. Un changement dans le nombre est suspect. Un nom de compte maladroit est plus que suspect.

Exemple 3: Lorsque le pare-feu avait des capacités VPN, l’acteur de menace a créé des comptes d’utilisateurs VPN locaux avec des noms ressemblant à ceux des comptes légitimes, mais avec un chiffre supplémentaire à la fin. Ces utilisateurs nouvellement créés ont ensuite été ajoutés au groupe d’utilisateurs VPN, permettant de futures connexions. ForeScout conclut que cette tactique était probablement destinée à échapper à la détection lors des examens administratifs occasionnels et à maintenir un accès persistant même si les points d’entrée initiaux ont été découverts. L’acteur a ensuite affecté manuellement un mot de passe aux utilisateurs nouvellement créés.

Leçon: Voir leçon 2.

Prime leçon aux cisos: Ce n’est pas parce qu’un acteur de menace a un exploit nul de la journée que votre infrastructure informatique est sans défense. L’inverse est vrai – la défense en profondeur réduit considérablement le risque de compromis.

« La bonne nouvelle dans ce cas est que le patch précédemment publié par Fortinet devrait couvrir les deux vulnérabilités », a déclaré Stefan Hostetler, chercheur principal du renseignement des menaces chez Arctic Wolf, dans un e-mail. «Les derniers rapports suggèrent que les acteurs de la menace vont après les autres organisations qui n’ont pas pu appliquer le patch ou durcir leurs configurations de pare-feu lorsque la vulnérabilité a été initialement divulguée.»

Selon ForeScout, les premiers signes selon lesquels les vulnérabilités (CVE-2024-55591 et CVE-2025-24472) étaient exploitées était fin novembre / début décembre de l’année dernière. Fortinet a publié un avis le 14 janvier. Une preuve de concept de compromis que les acteurs de la menace pouvaient exploiter a été libérée le 27 janvier.

ForeScout a commencé à voir des intrusions parmi ses clients à partir du 31 janvier. Fortinet a ajouté CVE-2025-24472 à son avis initial le 11 février.

Signes d’intrusion

« Cet acteur présente une signature opérationnelle distincte qui mélange des éléments d’attaques opportunistes avec des liens avec l’écosystème de lockbit », a déclaré ForeScout dans son analyse.

«La relation de MORA_001 avec les opérations de ransomware de Lockbit plus larges souligne la complexité accrue du paysage des ransomwares modernes – où des équipes spécialisées collaborent pour tirer parti des capacités complémentaires.»

Les CISO doivent noter que ces modèles post-exploitation cohérents à travers les incidents qui ont été étudiés:

  • création de noms d’utilisateur identiques sur plusieurs réseaux de victimes;
  • Le chevauchement des adresses IP utilisées pour l’accès initial, la post-exploitation et les opérations de commande et de contrôle (C2).
  • Comportements de sauvegarde de configuration similaires dans des environnements compromis
  • Déploiement rapide des ransomwares dans les 48 heures lorsque les conditions sont favorables, avec une reconnaissance prolongée dans des environnements avec des contrôles de sécurité plus stricts.

CVE-2024-55591 et CVE-2025-24472 permettent aux attaquants non authentifiés d’obtenir des privilèges Super_Admin sur les appareils FortiGate exécutant Fortios avant la version 7.0.16 et qui ont des interfaces de gestion exposées par Internet.

Après la diffusion de mots sur les vulnérabilités et l’exploit de preuve de concept, ForeScout a vu trois types d’attaques: en utilisant le POC, l’exploitation directe de la vulnérabilité WebSocket dans les interfaces de pare-feu exposées et en utilisant des demandes HTTPS directes.

Tactiques d’attaque

Après avoir réussi à exploiter la vulnérabilité et à vérifier l’accès à l’aide de noms d’utilisateur randomisés, l’acteur de menace a systématiquement créé des utilisateurs d’administrateur système local dans presque tous les incidents. Les comptes nouvellement créés comprenaient: Forticloud-Tech, FortiGate-Firewall et Adnimistrator (administrateur mal orthographié):

Les CISO doivent également noter que dans certains cas, au lieu de compter sur un seul compte administratif pour toutes les actions, l’acteur de menace a utilisé une méthode de chaînage, où chaque compte administratif nouvellement créé a été utilisé pour générer des comptes supplémentaires. Cette approche est probablement destinée à compliquer les efforts d’assainissement, ce qui rend plus difficile d’identifier et de révoquer tous les comptes compromis.

Après avoir créé des comptes d’administrateur local, a découvert que l’acteur de menace a téléchargé le fichier de configuration du pare-feu, qui contient des informations critiques sur l’appareil et le réseau, y compris les politiques, les routes, les clés et les configurations VPN. De plus, les journaux indiquent que les modifications de configuration ont été apportées par l’acteur de menace.

L’acteur a créé une tâche d’automatisation scénarisée pour resynchroniser l’utilisateur Forticloud-Sync avec un profil Super_Admin et un mot de passe connu quotidiennement à un moment spécifié. ForeScout a déclaré que cela garantissait que même si le compte local est supprimé manuellement du pare-feu, il sera automatiquement recréé.

L’acteur de menace a également essayé, dans la mesure du possible, de créer des comptes VPN locaux à exploiter. Dans les environnements sans capacités VPN ou lorsque l’acteur n’a pas pu ajouter des utilisateurs de VPN, ils ont tenté de se connecter à d’autres pare-feu en utilisant les informations d’identification créées sur le pare-feu compromis initial. Cela a été fait à travers deux méthodes distinctes:

  • Pour les pare-feu configurés en mode haute disponibilité, l’acteur de menace a forcé la fonctionnalité HA à propager la configuration compromise à des pare-feu supplémentaires dans le même cluster. En déclenchant le processus de synchronisation HA, ils ont veillé à ce que leurs comptes de porte dérobée et leurs scripts d’automatisation soient reproduits sur les appareils;
  • Pour les pare-feu configurés pour utiliser TACACS + (Système d’accès au contrôleur d’accès terminal) ou RADIUS (service utilisateur d’authentification à distance), l’acteur de menace a tenté de VPN dans le réseau. Cette méthode pourrait réussir si l’un des utilisateurs créés localement était également synchronisé avec Active Directory (AD) ou via un secret communautaire RADIUS, permettant l’authentification via le serveur de stratégie réseau (NPS).

Après avoir compromis le pare-feu, l’acteur de menace s’est déplacé latéralement à travers le réseau informatique, en tirant parti des informations à partir du fichier de configuration du pare-feu compromis et des tableaux de bord, en hiérarchiser les cibles de grande valeur, y compris des serveurs de fichiers, des serveurs d’authentification et des contrôleurs de domaine, des serveurs de base de données et d’autres dispositifs d’infrastructure de réseau, puis exfiltrés et incrypté des séances de serveurs.

L’acteur s’est principalement appuyé sur Windows Management Instrumentation (WMIC) pour la découverte et l’exécution du système distant, a déclaré ForeScout, et a utilisé SSH pour accéder aux systèmes supplémentaires, en particulier les serveurs et les appareils réseau.

Comme pour d’autres vulnérabilités connues qui ne sont pas attirées, les cybercriminels ont tendance à faire un travail rapide d’exploiter l’écart entre la libération d’un patch de sécurité et son installation, a déclaré Hostetler d’Arctic Wolf.

« L’acteur de menace lié à la campagne de ransomwares décrite par ForeScout semble utiliser un ensemble familier d’outils observés dans l’activité des ransomwares passés », a-t-il déclaré, « tout en adaptant leurs techniques d’accès initiales. Lorsque le constructeur Lockbit 3.0 a divulgué en 2022, de nombreux groupes ont commencé à l’utiliser pour leurs propres campagnes indépendantes, et cet acteur de menace semble faire de même. De plus, la structure de la note de rançon présente des similitudes avec celles d’autres groupes tels que la variante Ransomware BlackCat / AlphV maintenant disparue. Cela illustre comment les acteurs de la menace se cachant derrière les noms de groupes de ransomware se renomment et s’adaptent à mesure que leurs incitations et alliances évoluent au fil du temps. »

Dispositifs de bord cibles de plus en plus attractives

Cette recherche souligne que les appareils Edge, y compris les routeurs, les passerelles VPN et d’autres, sont une cible de plus en plus attrayante pour les acteurs de la menace, Sai Molige, directeur principal de ForeStcout de la chasse aux menaces, dans un courriel. Il a déclaré que les CISO et leurs équipes de sécurité peuvent prendre plusieurs mesures pour identifier et évaluer les risques potentiels dans leur environnement.

Ils peuvent effectuer une modélisation des menaces sur les dispositifs de bord pour mieux comprendre le taux d’exposition et l’étendue d’une intrusion si et quand il se produit, a-t-il noté. Une fois que les équipes de sécurité ont une compréhension complète de la mise en œuvre et de la fonction de ces appareils Edge, ils peuvent:

  • Utilisez l’exploitation forestière et la surveillance pour détecter et chasser les actions malveillantes telles que le téléchargement de fichiers de configuration qui n’étaient pas à partir de l’activité administrative légitime.
  • Effectuer des audits réguliers sur les utilisateurs pour comparer le comportement standard et identifier les écarts.
  • Audit des procédures opérationnelles régulières, telles que l’utilisation de scripts automatisés sur les appareils Edge, pour détecter tout écart par rapport au comportement attendu.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Stratégie de poker avec Mark Mazmanian: Dans quelle direction allez-vous? Une main d'Archie
Stratégie de poker avec Mark Mazmanian: Dans quelle direction allez-vous? Une main d’Archie
Foxen Family marque le deuxième trophée de l'Open de poker américain 2025
Foxen Family marque le deuxième trophée de l’Open de poker américain 2025
Merger and acquisition
Le moment le plus dangereux pour la sécurité des entreprises? Un mois après une acquisition