Un nouveau groupe de piratage a divulgué gratuitement les fichiers de configuration, les adresses IP et les informations d’identification VPN de plus de 15 000 appareils FortiGate sur le dark Web, exposant de nombreuses informations techniques sensibles à d’autres cybercriminels.
Les données ont été divulguées par le « Groupe Belsen », un nouveau groupe de piratage informatique apparu pour la première fois sur les réseaux sociaux et les forums de cybercriminalité ce mois-ci. Pour se promouvoir, le groupe Belsen a créé un site Web Tor sur lequel il a publié gratuitement le vidage de données FortiGate pour qu’il soit utilisé par d’autres acteurs de la menace.
« En ce début d’année, et comme un début positif pour nous, et afin de solidifier le nom de notre groupe dans votre mémoire, nous sommes fiers d’annoncer notre première opération officielle: seront publiées les données sensibles de plus de 15 000 cibles dans le monde entier (secteurs gouvernemental et privé) qui ont été piratées et leurs données extraites », peut-on lire sur un forum de piratage.
La fuite FortiGate consiste en une archive de 1,6 Go contenant des dossiers classés par pays. Chaque dossier contient d’autres sous-dossiers pour l’adresse IP de chaque FortiGate dans ce pays.
Selon l’expert en cybersécurité Kevin Beaumont, chaque adresse IP a une configuration.conf (vidage de configuration Fortigate) et un vpn-mots de passe.fichier txt, avec certains des mots de passe en texte brut. Les configurations contiennent également des informations sensibles, telles que des clés privées et des règles de pare-feu.
Dans un article de blog sur la fuite FortiGate, Beaumont dit que la fuite serait liée à un jour zéro de 2022 suivi sous le nom de CVE-2022-40684 qui a été exploité dans des attaques avant la publication d’un correctif.
« J’ai effectué une réponse aux incidents sur un appareil dans une organisation victime, et l’exploitation était en effet via CVE-2022–40684 basée sur des artefacts sur l’appareil. J’ai également pu vérifier que les noms d’utilisateur et le mot de passe vus dans le vidage correspondent aux détails sur l’appareil », explique Beaumont.
« Les données semblent avoir été rassemblées en octobre 2022, en tant que vuln de jour zéro. Pour une raison quelconque, le vidage de données de config a été publié aujourd’hui, un peu plus de 2 ans plus tard. »
En 2022, Fortinet a averti que les acteurs de la menace exploitaient un jour zéro suivi sous le nom de CVE-2022-40684 pour télécharger des fichiers de configuration à partir d’appareils FortiGate ciblés, puis ajouter un compte super_admin malveillant appelé « fortigate-tech-support ».
Le site d’information allemand Heise a analysé la fuite de données et a également déclaré qu’elle avait été collectée en 2022, tous les appareils utilisant le micrologiciel FortiOS 7.0.0-7.0.6 ou 7.2.0-7.2.2.
« Tous les appareils étaient équipés de FortiOS 7.0.0-7.0.6 ou 7.2.0-7.2.2, la plupart avec la version 7.2.0. Nous n’avons trouvé aucune version de FortiOS dans le trésor de données plus récente que la version 7.2.2, publiée le 3 octobre 2022 », a rapporté Heise.
Cependant, FortiOS 7.2.2 a corrigé la faille CVE-2022–40684, il serait donc difficile de savoir comment les appareils exécutant cette version pourraient être exploités avec cette vulnérabilité.
Même si ces fichiers de configuration ont été collectés en 2022, Beaumont prévient qu’ils exposent encore de nombreuses informations sensibles sur les défenses d’un réseau.
Cela inclut les règles de pare-feu et les informations d’identification qui, si elles ne sont pas modifiées à ce moment-là, doivent être modifiées immédiatement maintenant que les données ont été communiquées à un plus grand nombre d’acteurs de la menace.
Beaumont dit qu’il prévoit de publier une liste des adresses IP dans la fuite afin que les administrateurs de FortiGate puissent savoir si la fuite les a impactés.
En 2021, un acteur de la menace a divulgué près de 500 000 informations d’identification VPN Fortinet qui ont été collectées à l’aide de la vulnérabilité CVE-2018-13379.
Breahtrace a également contacté les acteurs de la menace et Fortinet avec des questions sur la fuite et mettra à jour l’histoire si nous recevons une réponse.