15 000 firewalls FortiGate menacés par une fuite massive avec la config complète et des identifiants
Un groupe de pirates qui se fait appeler Belsen Group a publié les données de configuration, incluant les identifiants, de 15 000 firewalls FortiGate ! Une fuite de données majeure ! Faisons le point.
Le chercheur en sécurité Kevin Beaumont a publié un nouveau post dans lequel il évoque les données sensibles publiées par le groupe de pirates Belsen Group. Il serait question de 15 000 firewalls FortiGate unique, et cette fuite de données contiendrait un dump de chaque firewall avec les informations suivantes :
- Noms d'utilisateur
- Mots de passe (certains en texte clair)
- Certificats numériques de gestion des appareils
- Toutes les règles de pare-feu
La liste des firewalls est organisée par pays et il y a ensuite un répertoire par firewall, où le dossier reprend l'adresse IP publique de l'appareil. À l'intérieur, il y a plusieurs fichiers dont le "config.conf" qui est un dump complet de la configuration et un fichier "vpn-users.txt" avec des identifiants (utilisateurs VPN, probablement), parfois en clair.
"J'ai pu vérifier que ce dump est réel, car les appareils qu'il contient sont répertoriés sur Shodan et partagent les mêmes numéros de série uniques.", précise Kevin Beaumont.
Une fuite de données liée à la CVE-2024-55591 ? Non !
Quand on prend connaissance de cette information, nous sommes obligés de penser à la vulnérabilité CVE-2024-55591 qui fait beaucoup de bruit depuis le début de la semaine. En effet, cette faille de sécurité est exploitée par les pirates et elle vient d'être patchée par Fortinet. Surtout, elle permet aux attaquants de prendre le contrôle des firewalls FortiGate en contournant l'authentification.
Pour autant, elle ne serait pas à l'origine de cette fuite de données. D'après Kevin Beaumont, les données publiées remontent à octobre 2022, en exploitant une faille zero-day justement patchée cette année-là : la CVE-2022-40684.
"Les données semblent avoir été rassemblées en octobre 2022, sous la forme d'une vulnérabilité de type "zero day". Pour une raison quelconque, le dumping de données de configuration a été publié aujourd'hui, un peu plus de deux ans plus tard.", peut-on lire dans son article.
Si vous utilisez un firewall Fortinet, vérifiez bien les mises à jour et n'exposez pas l'interface de gestion sur Internet. Les risques sont élevés, et pour cause, les organisations qui ont corrigé la vulnérabilité après l'exploitation peuvent encore avoir leurs configurations exposées par cette fuite de données. Dans ce cas, elles sont potentiellement vulnérables à des attaques ultérieures...
