Son ampleur est qualifiée de stupéfiante. Nommée FortiBleed par la société de cybersécurité Hudson Rock, cette campagne d’attaque a permis de compromettre environ 75 000 dispositifs de sécurité Fortinet, des pare-feu et des passerelles VPN qui constituent la première ligne de défense pour de nombreuses entreprises et organisations.
L’affaire a été initialement révélée par le chercheur en sécurité Bob Diachenko, qui a découvert un serveur non sécurisé contenant une vaste collection d’identifiants valides, incluant des noms d’utilisateur et des mots de passe en clair.
Comment cette attaque a-t-elle été possible ?
Contrairement à des cyberattaques spectaculaires qui exploitent des vulnérabilités zero-day, FortiBleed repose essentiellement sur la collecte et l’exploitation d’identifiants existants.
Les attaquants russophones ont d’abord scanné Internet à la recherche de dispositifs Fortinet dont l’interface de gestion était exposée publiquement. Ensuite, ils ont utilisé des listes de mots de passe précédemment divulgués et des techniques de force brute pour obtenir l’accès.
L’opération a atteint une échelle industrielle. Bob Diachenko évoque 1,16 milliard de tentatives d’authentification contre 320 777 cibles FortiGate. Pour déchiffrer les mots de passe les plus robustes, les attaquants ont intercepté les hashs d’authentification SSL VPN et les ont cassés à l’aide d’un cluster de 45 GPU.
Une fois à l’intérieur, ils pouvaient surveiller le trafic, voler davantage de données et pivoter vers les environnements Active Directory internes des victimes pour une compromission totale.
Quelle est l’ampleur des dégâts ?
L’analyse des données par Hudson Rock et le chercheur Kevin Beaumont a confirmé que la fuite était bien réelle et concernait près de la moitié de tous les pare-feu Fortinet exposés sur Internet.
Les victimes se comptent par milliers et touchent » presque tous les secteurs de l’économie mondiale « , des infrastructures critiques aux agences gouvernementales. Les pays les plus touchés sont l’Inde, les États-Unis, Taïwan et le Mexique, mais des victimes ont été recensées dans 194 pays.
La liste des entreprises concernées inclut des multinationales de renom telles que Samsung, Foxconn, Siemens, Oracle, Lenovo, Comcast, PwC et Accenture. Des documents classifiés auraient même été volés chez un sous-traitant turc de l’OTAN.
Un aspect alarmant mis en avant est que de nombreux mots de passe compromis étaient longs et complexes, démontrant que la complexité seule est une défense illusoire si les identifiants sont obtenus par d’autres moyens. Par exemple, un malware de type infostealer.
Quelle est la position de Fortinet ?
Contacté par plusieurs médias, Fortinet a déclaré être au courant de la campagne de collecte d’identifiants, mais a minimisé son caractère récent et a exclu une vulnérabilité zero-day dans ses produits.
D’après l’analyse de Fortinet, les données impliquées proviennent d’un » partage de données d’incidents antérieurs, ainsi que d’attaques par force brute, et ne sont pas liées à un incident ou un avis de sécurité récent « .
Hudson Rock a publié un billet de blog consacré à FortiBleed et met à disposition un outil permettant aux entreprises de vérifier si leurs domaines font partie de l’ensemble de données compromis.