Une vaste campagne de compromission, baptisée FortiBleed, a exposé les identifiants d’administrateurs pour plus de 73 000 pare-feu Fortinet FortiGate connectés à Internet. Cette fuite de données, désormais circulant dans les cercles criminels, pourrait concerner environ 50 % des appareils FortiGate accessibles en ligne à travers 194 pays. Bien que cet incident ne semble pas lié à une nouvelle vulnérabilité, il est probable que les données proviennent de compromissions antérieures de dispositifs Fortinet. Les informations divulguées incluent des identifiants VPN et des configurations de pare-feu, offrant potentiellement aux acteurs malveillants un accès non autorisé aux environnements concernés. Les organisations doivent considérer ces identifiants comme compromis et prendre des mesures immédiates pour évaluer les risques et corriger les comptes affectés. Les chercheurs ont confirmé l’exploitation active de cette campagne, avec des outils de post-exploitation tels que Chisel et Neo-reGeorg, utilisés par des acteurs sophistiqués pour des intrusions ciblées. Les entreprises doivent réagir promptement en réinitialisant les identifiants, en appliquant les correctifs nécessaires, en restreignant l’accès aux interfaces de gestion, en renforçant l’authentification et en recherchant des signes de compromission.
Les identifiants VPN Fortinet sont-ils en danger à cause de l’exposition FortiBleed ?
