Fortinet : 500 000 identifiants de connexion VPN ont fuité sur un forum !
Méfiance si vous utilisez un pare-feu Fortinet pour protéger votre infrastructure : une liste de 500 000 identifiants de connexion VPN a fuité sur un forum de hackers baptisé RAMP.
Un hacker qui se présente sous le pseudo d'Orange a publié cette liste sur un nouveau forum de hacking appelé RAMP. Dans le même temps, cette liste a été publiée sur le site associé au ransomware Groove.
Cette fameuse liste de 498 908 identifiants toucherait 86 941 boîtiers dans 74 pays différents, y compris en France, d'après l'analyse effectuée par le site Advanced Intel. Des chiffres confirmés par Fortinet dans son bulletin de sécurité puisque l'entreprise parle de 87 000 boîtiers FortiGate SSL-VPN.
Pour récupérer les identifiants sur les boîtiers Fortinet compromis, les pirates ont utilisé une faille de sécurité connue et déjà corrigée depuis mai 2019 : la CVE-2018-13379 de FortiOS. D'ailleurs, Fortinet a publié plusieurs communiqués en août 2019, juillet 2020, avril 2021 et en juin 2021 pour rappeler qu'il était important de mettre à jour son boîtier pour se protéger contre cette faille de sécurité.
Pour sécuriser son boîtier contre cette faille de sécurité, vous devez utiliser au minimum l'une des versions suivantes : FortiOS 5.4.13, 5.6.14, 6.0.11, ou 6.2.8.
Si vous avez patché votre boîtier récemment, mais que les pirates sont déjà passés récolter la liste des comptes, ils pourront se connecter avec les identifiants valides. À moins que vous ayez également réinitialisé les mots de passe des comptes qui se connectent en VPN, ce qui est une bonne idée ! Mieux vaut prévenir que guérir, comme on dit !
Si vous souhaitez savoir si l'adresse IP de votre boîtier est présente dans cette liste, rendez-vous sur cette liste publiée sur GitHub. En recherchant ".fr" dans la liste, on voit des noms d'entreprises françaises apparaître dans la liste...
