Faille zero-day sur les pare-feux Fortinet : un danger imminent

Faille zero-day sur les pare-feux Fortinet : un danger imminent

Les chercheurs en cybersécurité alertent sur une campagne ciblant les pare-feux Fortinet FortiGate avec des interfaces de gestion exposées sur Internet. La menace, potentiellement liée à une faille de type zero-day, inquiète de nombreuses entreprises, particulièrement celles utilisant des versions de firmware vulnérables. Retour sur les faits et recommandations pour protéger vos infrastructures critiques.

Une campagne ciblant les interfaces de gestion des pare-feux Fortinet

Des attaques stratégiques en plusieurs phases

Cette campagne malveillante, repérée à partir de la mi-novembre 2024, a exploité l’accès non autorisé aux interfaces de gestion des pare-feux Fortinet FortiGate. Selon le rapport publié par Arctic Wolf, les cybercriminels ont procédé à des connexions administratives non autorisées, entraînant des changements de configuration, la création de nouveaux comptes, et l’authentification sur les portails SSL VPN via ces comptes compromis.

La campagne s’est déroulée en quatre phases distinctes, débutant par des activités de reconnaissance et d’exploration de vulnérabilités pour évoluer vers des modifications de configurations et des mouvements latéraux. Cette approche méthodique a permis aux attaquants d’exploiter pleinement les failles des systèmes visés.

Une potentielle vulnérabilité zero-day en cause

Bien que le vecteur d’attaque initial demeure inconnu, les experts suggèrent avec une « haute confiance » que ces intrusions sont attribuables à une vulnérabilité zero-day. Cette hypothèse est renforcée par le nombre d’organisations touchées dans un laps de temps très court, ainsi que par les versions de firmware impactées, entre 7.0.14 et 7.0.16, publiées entre février et octobre 2024.

Les assaillants ont exploité ces failles pour modifier les paramètres des pare-feux, notamment en ajustant les paramètres de sortie, et pour créer des comptes administratifs dotés des plus hauts privilèges dès début décembre 2024.

Une exploitation orientée vers l’accès VPN sécurisé

Création et détournement de comptes pour l’exfiltration

Les nouveaux comptes de super administrateurs ont ensuite permis aux attaquants de configurer jusqu’à six comptes locaux supplémentaires et de les associer aux groupes créés par les victimes pour accéder aux VPN SSL. Dans certains cas, des comptes déjà existants ont été détournés et ajoutés à ces groupes pour renforcer la furtivité des intrusions.

Les hackers ont également mis en place de nouveaux portails SSL VPN. Ces derniers ont été utilisés pour établir des tunnels VPN sécurisés, exploitant des adresses IP issues de fournisseurs d’hébergement VPS, un signe témoignant d’une infrastructure sophistiquée et difficile à tracer.

Objectifs inconnus mais des techniques avancées utilisées

L’exploitation a culminé avec l’utilisation de la technique DCSync afin d’exfiltrer des identifiants permettant des mouvements latéraux. Malheureusement, aucun élément concret n’a pu révéler les objectifs finaux des attaquants, ces derniers ayant été purgés des systèmes compromis avant que leurs opérations ne progressent davantage. Cela laisse planer l’incertitude sur le degré de compromission affectant les organisations touchées.

Mesures à prendre pour protéger vos pare-feux

Limiter l’exposition des interfaces de gestion

Pour réduire les risques, il est recommandé aux organisations de ne pas exposer les interfaces de gestion de leurs pare-feux à Internet. L’accès doit être restreint aux utilisateurs de confiance et surveillé pour détecter toute activité suspecte. L’application des dernières mises à jour de firmware est également essentielle pour corriger d’éventuelles failles de sécurité.

Adopter une surveillance proactive des systèmes

Les événements de connexion anormaux, notamment les connexions fréquentes ou provenant de localisations géographiques inhabituelles, doivent être immédiatement signalés et analysés. Une analyse régulière des configurations réseau et des journaux d’activité permet également d’identifier rapidement des signes d’intrusion.

Ces incidents soulignent à quel point il est vital de surveiller et sécuriser vos infrastructures réseau. Chez CyberCare, nous proposons des solutions de protection avancée pour vos pare-feux et vos dispositifs critiques, assurant une défense proactive contre les cybermenaces émergentes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *