Des identifiants VPN et administrateur liés à des dizaines de milliers d’équipements Fortinet auraient été retrouvés dans une base de données exposée en ligne. L’entreprise nie toute nouvelle faille, mais les chercheurs jugent le fichier sérieux et encore exploitable.
Pour le coup, FortiBleed porte bien son nom. Découverte par le chercheur Volodymyr "Bob" Diachenko, cette fuite massive d’identifiants liés à des équipements Fortinet et FortiGate semble avoir servi à documenter des cibles, tester des comptes et préparer de possibles intrusions. La base concerne des pare-feu et passerelles VPN utilisés par des entreprises du monde entier, parfois dans des secteurs très sensibles. Fortinet a assuré que ces données provenaient d’incidents antérieurs et d’attaques menées par force brute, sans lien avec une nouvelle vulnérabilité. Les analyses indépendantes font toutefois état d’un jeu de données valide, récent pour partie, et encore exploitable sur de nombreux systèmes toujours en ligne.
Sponsorisé
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Sponsorisé
Une base très structurée, des cibles partout dans le monde
Selon les éléments relayés par BleepingComputer, le fichier découvert par Diachenko ne ressemble pas à une base de mots de passe abandonnée au hasard sur un serveur mal sécurisé. D’après les analyses du chercheur puis de Hudson Rock, il s’agirait plutôt d’un inventaire d’accès liés à des pare-feu et passerelles VPN Fortinet, comprenant des URL de pare-feu, des noms d’utilisateur, des adresses mail et des mots de passe en clair. À ces données s’ajouteraient des indications sur les organisations visées, comme leur secteur, leur taille ou leur chiffre d’affaires. L’ensemble pouvait servir à suivre des cibles, prioriser des accès et préparer des intrusions sans avoir à repartir de zéro.
L’ampleur du jeu de données donne la mesure du problème. Hudson Rock évoque 73 932 URL uniques de pare-feu réparties dans 194 pays, associées à plus de 21 000 domaines. Les noms cités vont de Samsung à Foxconn, Toyota, Comcast, Siemens, Lenovo, PwC, Accenture ou Oracle, aux côtés d’agences gouvernementales et d’opérateurs d’infrastructures critiques. Les télécoms, les services informatiques, la finance, la santé, l’éducation et l’industrie figureraient aussi parmi les secteurs les plus représentés.
Contactée par BleepingComputer, Fortinet conteste toutefois l’idée d’un nouvel incident affectant ses produits. L’entreprise rattache les données à des compromissions antérieures et à des attaques par force brute, sans lien avec une vulnérabilité récente. Mais cette réponse ne suffit pas à évacuer le risque. Kevin Beaumont, chercheur en sécurité connu pour son suivi des équipements exposés en ligne, dit avoir vérifié une partie des identifiants et estime que le fichier paraît trop consistant pour être réduit à un simple recyclage d’anciennes données. De nombreux systèmes concernés seraient par ailleurs toujours accessibles en ligne.
Mots de passe, MFA, journaux, les vérifications à lancer sans attendre
Pour les organisations qui utilisent des pare-feu ou passerelles VPN Fortinet, la priorité consiste à vérifier si leurs domaines ou leurs URL d’accès apparaissent dans la base FortiBleed. En cas de doute, les identifiants associés aux accès VPN et aux interfaces d’administration doivent être considérés comme compromis. Les mots de passe concernés doivent être réinitialisés sans délai, en particulier pour les comptes administrateurs, les comptes encore actifs et les accès utilisés en dehors du réseau interne.
La deuxième étape consiste à durcir les accès qui auraient déjà dû l’être. L’authentification multifacteur doit être imposée sur les connexions VPN et les consoles d’administration, les interfaces de gestion ne doivent plus être exposées publiquement, ou seulement accessibles depuis des adresses de confiance, et les comptes inutilisés doivent être désactivés.
Reste le plus long, mais aussi le plus important. Les journaux doivent être passés au crible pour repérer des connexions inhabituelles, des horaires incohérents, des adresses IP inconnues ou des rebonds vers l’environnement Active Directory. Les équipes doivent aussi chercher des traces de mouvements latéraux, de nouveaux comptes, de règles modifiées ou d’accès persistants.
