Un acteur malveillant divulgue les informations d’identification SSL-VPN de FortiGate

Fortinet a pris connaissance du fait qu’un acteur malveillant a récemment divulgué des informations d’accès SSL-VPN à 87 000 dispositifs FortiGate SSL-VPN. Ces informations d’identification ont été obtenues à partir de systèmes qui n’étaient pas encore corrigés contre FG-IR-18-384 / CVE-2018-13379 au moment de l’analyse de l’acteur. Bien qu’ils aient pu être patchés depuis, si les mots de passe n’ont pas été réinitialisés, ils restent vulnérables.

Cet incident est lié à une ancienne vulnérabilité résolue en mai 2019. À l’époque, Fortinet a publié un avis PSIRT et a communiqué directement avec les clients. Et parce que la sécurité des clients est notre priorité absolue, Fortinet a ensuite publié plusieurs articles de blog d’entreprise détaillant ce problème, encourageant fortement les clients à mettre à niveau les appareils affectés. En plus des avis, bulletins et communications directes, ces blogs ont été publiés en août 2019, juillet 2020, avril 2021 et à nouveau en juin 2021.

Fortinet réitère que, si à un moment donné votre organisation exécutait l’une des versions affectées énumérées ci-dessous, même si vous avez mis à niveau vos appareils, vous devez également effectuer la réinitialisation du mot de passe utilisateur recommandée après la mise à niveau, conformément au bulletin d’assistance client et à d’autres informations consultatives. Sinon, vous risquez de rester vulnérable après la mise à niveau si les informations d’identification de vos utilisateurs ont été compromises auparavant.

Encore une fois, si à un moment donné votre organisation a utilisé une version affectée figurant dans l’avis original, Fortinet recommande de prendre immédiatement les mesures suivantes pour s’assurer que vos informations d’identification ne peuvent pas être utilisées de manière abusive.

Désactiver tous les VPN (SSL-VPN ou IPSEC) jusqu’à ce que les mesures correctives suivantes aient été prises.

Mettez immédiatement à niveau les dispositifs concernés vers la dernière version disponible, comme indiqué ci-dessous.

Traitez toutes les informations d’identification comme potentiellement compromises en effectuant une réinitialisation du mot de passe à l’échelle de l’organisation.

Mettez en œuvre l’authentification multifactorielle, qui contribuera à limiter l’utilisation abusive des informations d’identification compromises, maintenant et à l’avenir.

Notifiez les utilisateurs pour leur expliquer la raison de la réinitialisation du mot de passe et surveillez les services tels que HIBP pour votre domaine. Si les mots de passe ont été réutilisés pour d’autres comptes, ils pourraient être utilisés dans le cadre d’attaques par bourrage de credential.

Mise à niveau recommandée :

Effectuez une mise à niveau vers FortiOS 5.4.13, 5.6.14, 6.0.11 ou 6.2.8 et plus.

Il s’agit des versions les plus récentes pour toutes les versions initialement impactées. Elles contiennent également des corrections supplémentaires recommandées.

 

Références

Pour plus d’informations, veuillez-vous référer immédiatement à notre avis de mai 2019, ainsi qu’aux communications précédentes, notamment notre bulletin de support client (CSB-200716-1) et le blog détaillé PSIRT publié le 16 juillet 2020.

 

L’hygiène de sécurité est la première étape. Nous sommes là pour vous aider

Le paysage de la sécurité est en constante évolution, et la maintenance de tous les systèmes – en particulier les dispositifs de sécurité – est essentielle pour rester en avance sur les cybercriminels. Comme la plupart des fournisseurs, Fortinet fournit à ses clients une assistance et des mises à jour régulières du micrologiciel pour résoudre les problèmes tels que ceux documentés ici. Cependant, il est clair que certaines organisations ne profitent pas de ces services et ne corrigent pas systématiquement leurs systèmes critiques.

 

De nombreuses raisons peuvent expliquer pourquoi l’application des correctifs est reportée ou n’est pas terminée. L’impossibilité de mettre les systèmes critiques hors ligne pour l’application des correctifs pour des raisons de sécurité ou autres, les exigences de test onéreuses pour les nouvelles mises à jour, et même le manque de personnel ou l’inexpérience des équipes de sécurité peuvent tous jouer un rôle. Nos experts du support technique en ligne et local sont à votre disposition pour vous guider. Mais pour ceux qui utilisent des systèmes affectés et qui ne peuvent pas prendre des mesures immédiates de remédiation, Fortinet recommande de désactiver immédiatement toutes les fonctions SSL-VPN jusqu’à ce que les mises à jour puissent être appliquées.

 

Chez Fortinet, nous sommes en constante évolution avec nos clients pour protéger et sécuriser au mieux leurs organisations. Nous sommes heureux de recevoir des commentaires sur la façon dont nous pouvons mieux travailler ensemble dans ce processus continu. Veuillez contacter PSIRT via notre formulaire de soumission Web si vous avez des suggestions ou des commentaires.

 

Vous pouvez également utiliser ce lien pour en savoir plus sur notre politique actuelle de Fortinet PSIRT et sur la façon de soumettre une vulnérabilité potentielle à l’équipe PSIRT.