Des hackers compromettent 73 000 pare-feu Fortinet lors d'une campagne mondiale de vol d'identifiants
Une campagne cybercriminelle à grande échelle a compromis plus de 73 000 appareils pare-feu et VPN Fortinet dans le monde, avec des victimes confirmées parmi certaines des plus grandes entreprises mondiales. L'opération, que les chercheurs ont surnommée « FortiBleed », a utilisé des outils de scan automatisés pour identifier les appareils Fortinet exposés, puis a exploité des identifiants précédemment connus — et non de nouvelles vulnérabilités — pour obtenir un accès.
Comment l'attaque a fonctionné
Plutôt que de recourir à des exploits zero-day, les attaquants ont construit une boucle auto-renforçante : des scanners automatisés ont cherché sur Internet des appareils Fortinet exposés, ont essayé des mots de passe divulgués connus pour entrer, puis ont utilisé leur accès pour récolter de nouveaux identifiants à l'intérieur de chaque réseau. Ces identifiants fraîchement collectés ont été réinjectés dans l'opération de scan pour compromettre des cibles supplémentaires, amplifiant la portée de la campagne au fil du temps.
La société de recherche en sécurité Hudson Rock a identifié plus de 73 000 URL uniques Fortinet compromises, tandis que SOCRadar a confirmé indépendamment plus de 30 000 appareils piratés — suggérant que l'ampleur réelle se situe probablement entre ces deux estimations ou que les deux chercheurs examinent des ensembles de données partiellement chevauchants provenant de sources différentes.
Qui a été touché
Les pays les plus touchés sont l'Inde, les États-Unis, Taïwan et le Mexique. Les secteurs les plus durement frappés incluent les services IT, les télécommunications, les matériaux de construction et les agences gouvernementales. Parmi les victimes confirmées figurent Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens et PwC — un échantillon représentatif de grandes entreprises mondiales qui dépendent des produits Fortinet pour la sécurité périmétrique de leur réseau.
Les attaquants ont obtenu l'accès aux identifiants et ont pu surveiller le trafic transitant par les appareils compromis, leur donnant ainsi un point d'ancrage persistant au sein des réseaux d'entreprise affectés.
Réponse de Fortinet
Fortinet a minimisé la gravité de la campagne. Un porte-parole de l'entreprise a déclaré à TechCrunch que la firme « est au courant d'une campagne signalée de collecte d'identifiants par un tiers » mais a qualifié l'incident de « réutilisation de données provenant d'incidents précédents, ainsi que de cassage par force brute d'identifiants », ajoutant qu'il « n'est lié à aucun incident ou avis récent ». L'entreprise n'a pas abordé l'ampleur des victimes corporatives confirmées ni la technique d'amplification par boucle d'identifiants.
Ce que cela signifie pour la sécurité des entreprises
La campagne Fortinet souligne un angle mort persistant dans la sécurité des entreprises : les dispositifs périmétriques — pare-feu, VPN et équipements réseau — sont souvent les systèmes les moins patchés d'une organisation. Ils se situent en bordure du réseau, exposés à Internet, pourtant de nombreuses organisations ne renouvellent pas régulièrement les identifiants ni ne surveillent spécifiquement les accès non autorisés sur ces dispositifs. Lorsqu'un attaquant compromet un pare-feu, il obtient une position privilégiée pour observer tout le trafic transitant par le réseau, y compris les sessions d'authentification et les données sensibles.
Les équipes de sécurité doivent auditer tous les appareils Fortinet pour détecter tout signe d'accès non autorisé, renouveler les identifiants sur tout appareil potentiellement exposé et activer l'authentification multifacteur pour l'accès VPN dans la mesure du possible. L'incident a été initialement rapporté par Lorenzo Franceschi-Bicchierai sur TechCrunch.
Originally reported by TechCrunch. Read the original article for additional details.
View original source