Fortinet: Des hackers divulguent les mots de passe de 500 000 comptes VPN

0

Un acteur malveillant a divulgué une liste de près de 500 000 identifiants de connexion et mots de passe VPN Fortinet qui auraient été extraits d’appareils exploitables l’été dernier.

Alors que le pirate informatique déclare que la vulnérabilité de Fortinet exploitée a depuis été corrigée, il affirme que de nombreuses informations d’identification VPN sont toujours valides.

Cette fuite est un incident grave car les informations d’identification VPN pourraient permettre aux pirates informatiques d’accéder à un réseau pour effectuer une exfiltration de données, installer des logiciels malveillants et effectuer des attaques de ransomware.

Les identifiants Fortinet divulgués sur un forum de piratage

La liste des informations d’identification Fortinet a été divulguée gratuitement par un pirate informatique connu sous le nom « Orange », qui est l’administrateur du nouveau forum de piratage RAMP et un ancien opérateur de l’opération de ransomware Babuk.

Après des différends entre les membres du gang Babuk, Orange s’est séparé pour lancer RAMP et est maintenant considéré comme un représentant de la nouvelle opération de ransomware Groove.

Récemment, le pirate informatique a créé un message sur le forum RAMP avec un lien vers un fichier qui contiendrait des milliers de comptes VPN Fortinet.

fortinet ramp
Publier sur le forum de piratage RAMP

Dans le même temps, un article est apparu sur le site de fuite de données du ransomware Groove faisant également la promotion de la fuite de Fortinet VPN.

groove
Article sur la fuite Fortinet sur le site de fuite de données Groove

Les deux publications mènent à un fichier hébergé sur un serveur de stockage Tor utilisé par le gang Groove pour héberger des fichiers volés divulgués pour faire pression sur les victimes du ransomware pour qu’elles paient.

L’analyse de ce fichier montre qu’il contient des informations d’identification VPN pour 498 908 utilisateurs sur 12 856 appareils.

Bien qu’ils n’aient pas testé si l’une des informations d’identification divulguées était valide, les chercheurs peuvent confirmer que toutes les adresses IP qu’ils ont vérifiées sont des serveurs VPN Fortinet.

Une analyse plus approfondie menée par Advanced Intel montre que les adresses IP concernent les appareils du monde entier, avec 2 959 appareils situés aux États-Unis.

fortinet
Répartition géographique des serveurs Fortinet divulgués

Kremez a déclaré que la vulnérabilité CVE-2018-13379 de Fortinet désormais corrigée avait été exploitée pour collecter ces informations d’identification.

Une source du secteur de la cybersécurité a déclaré qu’elle était en mesure de vérifier légalement qu’au moins certaines des informations d’identification divulguées étaient valides.

Cependant, certaines sources donnent des réponses mitigées, certaines affirmant que de nombreuses informations d’identification fonctionnent, tandis que d’autres déclarent que la plupart ne le font pas.

On ne sait pas pourquoi le pirate informatique a publié les informations d’identification plutôt que de les utiliser pour lui-même, mais on pense que cela a été fait pour promouvoir le forum de piratage RAMP et l’opération de ransomware-as-a-service nommée Groove.

« Nous pensons avec une grande confiance que la fuite VPN SSL a probablement été accomplie pour promouvoir le nouveau forum de ransomware RAMP offrant un ‘cadeau’ pour les futurs opérateurs de ransomware. » a déclaré Vitali Kremez d’Advanced Intel.

Groove est une opération de ransomware relativement nouvelle qui n’a actuellement qu’une seule victime répertoriée sur son site de fuite de données. Cependant, en offrant des cadeaux à la communauté des cybercriminels, ils espèrent peut-être recruter d’autres pirates informatiques dans leur système d’affiliation.

Que doivent faire les administrateurs de serveurs Fortinet VPN ?

Bien que les chercheurs ne puissent pas légalement vérifier la liste des informations d’identification, si vous êtes administrateur de serveurs VPN Fortinet, vous devez supposer que la plupart des informations d’identification répertoriées sont valides et prendre des précautions.

Ces précautions incluent l’exécution d’une réinitialisation forcée de tous les mots de passe utilisateur pour être sûr et de vérifier vos logs pour d’éventuelles intrusions.

Si quelque chose vous semble suspect, vous devez immédiatement vous assurer que les derniers correctifs sont installés, effectuer une enquête plus approfondie et vous assurer que les mots de passe de votre utilisateur sont réinitialisés.

Pour vérifier si un appareil fait partie de la fuite, le chercheur en sécurité Cypher a créé une liste des adresses IP des appareils divulgués.

Bien que Fortinet n’ait jamais répondu aux e-mails concernant la fuite, après que les chercheurs leur aient envoyé un e-mail au sujet de l’incident, ils ont publié un avis confirmant le signalement que la fuite était liée à la vulnérabilité CVE-2018-13379.

« Cet incident est lié à une ancienne vulnérabilité résolue en mai 2019. À cette époque, Fortinet a émis un avis PSIRT et a communiqué directement avec les clients.

Et parce que la sécurité des clients est notre priorité absolue, Fortinet a par la suite publié plusieurs articles de blog d’entreprise détaillant ce problème, encourageant fortement les clients à mettre à niveau les appareils concernés. En plus des avis, des bulletins et des communications directes, ces blogs ont été publiés en août 2019, juillet 2020, avril 2021 et à nouveau en juin 2021. » – Fortinet.

Laisser un commentaire