Plus de 600 pare-feu FortiGate compromis dans 55 pays en à peine un mois. Selon Amazon Threat Intelligence, l’attaque n’a reposé sur aucune faille zero-day, mais sur des interfaces d’administration exposées, des identifiants faibles et une authentification à facteur unique, le tout orchestré à grande échelle grâce à des services commerciaux d’IA générative.
Décidément, pas de répit pour les équipements FortiGate. Après l’exploitation persistante d’une faille 2FA pourtant corrigée depuis cinq ans et les vulnérabilités SSO récemment confirmées, voici que Fortinet doit faire face à une campagne malveillante d’un autre genre. Selon les analyses d’Amazon Threat Intelligence, un acteur russophone sans expertise particulière, mais fortement motivé par l’argent, aurait compromis des centaines de pare-feu entre le 11 janvier et le 18 février dernier, en s’appuyant sur des outils d’IA générative pour structurer et automatiser ses opérations.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Interfaces exposées, identifiants faibles et automatisation assistée par l’IA, le cocktail explosif
Contrairement aux vulnérabilités récemment documentées sur FortiGate, la campagne décrite par Amazon ne repose sur aucune faille inédite. L’intrusion s’est appuyée sur des interfaces de gestion exposées sur Internet, accessibles via les ports habituellement associés aux consoles d’administration et au VPN SSL (443, 8443, 10443 et 4443). Il a ensuite suffi à l’attaquant de multiplier les tentatives d’authentification à l’aide d’identifiants faibles ou réutilisés dans des environnements dépourvus d’authentification 2FA.
Une fois connecté, il a pu exporter la configuration complète de quelque 600 pare-feu répartis dans 55 pays, récupérant au passage la cartographie détaillée des réseaux internes et leurs paramètres de routage, ainsi que des comptes admin et des identifiants SSL-VPN. Autrement dit, une photographie très précise des systèmes que les équipements FortiGate étaient censés protéger.
L’originalité ne tient pas à la technique, déjà observée ailleurs, mais à la façon dont l’ensemble a été orchestré. Selon l’analyse publiée, l’acteur a eu recours à plusieurs services commerciaux de modèles de langage pour générer des scripts Python chargés d’analyser et d’extraire automatiquement les données sensibles des configurations récupérées. L’IA a également servi à produire des plans d’attaque détaillés, des séquences de commandes et des outils de reconnaissance interne développés notamment en Go et en Python, permettant d’automatiser l’enchaînement des étapes, de scanner à grande échelle et de multiplier les tentatives jusqu’à identifier des configurations négligées.
D’après les équipes d’Amazon Threat Intelligence, le profil de l’acteur ne correspond pas à celui d’un groupe avancé soutenu par un État. Ses opérations ont buté sur des environnements patchés, segmentés ou protégés par authentification multifactorielle, le poussant à changer de cible en cas de résistance opposée par des systèmes correctement sécurisés.
Active Directory et sauvegardes dans la ligne de mire
Évidemment, l’accès aux pare-feu n’a constitué qu’une première étape. Une fois les configurations récupérées et les identifiants exploitables en main, l’acteur a cherché à étendre son emprise sur les réseaux internes. Selon Amazon, les environnements compromis ont fait l’objet d’opérations classiques de reconnaissance, suivies de tentatives de prise de contrôle d’Active Directory afin d’obtenir des droits suffisants sur le domaine, extraire les empreintes de mots de passe en abusant du processus de réplication d’AD, identifier des comptes à privilèges élevés et consolider sa présence au sein du réseau.
Les serveurs de sauvegarde ont également été ciblés, en particulier ceux exécutant Veeam Backup & Replication, dans le but de récupérer des identifiants supplémentaires et de fragiliser les capacités de restauration avant un éventuel déploiement de ransomware.
On rappellera donc que l’accès aux interfaces d’administration ne doit pas rester exposé sur Internet et doit strictement être limité à des réseaux de confiance. L’authentification multifacteur doit être activée sur les accès VPN comme sur les comptes à privilèges, les correctifs de sécurité appliqués dès leur disponibilité, et la segmentation réseau mise en œuvre de manière cohérente pour contenir les déplacements latéraux. Les opérations inhabituelles de réplication dans AD ainsi que l’activité des serveurs de sauvegarde méritent, elles aussi, une surveillance attentive.
Source : Amazon Threat Intelligence
