FortiBleed - 75 000 firewalls Fortinet compromis, des credentials volés dans 194 pays

Une campagne d’attaque d’une ampleur exceptionnelle, surnommée FortiBleed par les chercheurs, a compromis environ 75 000 firewalls Fortinet FortiGate - soit près de la moitié de tous les appareils accessibles sur internet. Des credentials VPN et administratifs ont été exfiltrés dans 194 pays, touchant des multinationales comme Samsung, Siemens, FedEx, Accenture ou Oracle.

Comment fonctionne l’attaque

Les attaquants ciblent l’interface SSL VPN exposée des FortiGate. Une fois l’authentification interceptée, les hashes de mots de passe sont cassés via un cluster de 45 GPUs orchestré par Hashtopolis - un outil de cracking distribué. Les identifiants récupérés permettent ensuite aux attaquants de s’introduire dans les environnements Active Directory internes.

L’ampleur industrielle de l’opération est confirmée par les chiffres :

  • 1,16 milliard de tentatives de credentials contre 320 777 cibles FortiGate
  • 2,1 milliards de tentatives contre 163 650 serveurs MSSQL associés

Dommages confirmés

Au minimum 4 organisations entièrement compromises, dont un entrepreneur de défense turc lié à l’OTAN avec vol de documents classifiés. Parmi les victimes identifiées figurent FoxConn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture et Oracle.

Fortinet affirme que les données publiées proviennent d’incidents antérieurs déjà connus. Les chercheurs à l’origine de la découverte contestent cette version.

Êtes-vous concerné ?

Si votre infrastructure s’appuie sur un firewall Fortinet FortiGate avec SSL VPN activé, vous êtes potentiellement exposé. Cela concerne aussi les cas où votre prestataire infogérance utilise un FortiGate pour accéder à vos systèmes - vérifiez auprès de lui s’il est concerné et quelles mesures ont été prises.

Hudson Rock met à disposition un outil de vérification gratuit : hudsonrock.com/fortinet - entrez votre domaine pour savoir si des credentials associés à votre organisation ont été compromis.

Actions immédiates

  • Rotation des mots de passe : tous les comptes VPN et administrateurs Fortinet, sans exception
  • Activer le MFA sur l’interface d’administration et le portail VPN
  • Auditer les connexions récentes : chercher des accès inhabituels, notamment depuis des IPs étrangères ou hors horaires normaux
  • Vérifier les comptes Active Directory : rechercher des créations de comptes ou élévations de privilèges non planifiées
  • Restreindre l’accès à l’interface d’administration : bloquer l’exposition directe sur internet si ce n’est pas déjà le cas

Clients infogérés Heavy Mind

Nous n’utilisons pas de FortiGate pour accéder à vos environnements. Notre infrastructure de supervision et d’accès repose sur des solutions distinctes.

Aucune action n’est requise de votre part dans ce contexte.

Vous n’êtes pas client infogéré ?

Si vous disposez d’un FortiGate ou si votre prestataire en utilise un, nous pouvons vous accompagner :

  • Audit de votre exposition : vérification de la configuration SSL VPN, des accès exposés et des traces de compromission
  • Remédiation : rotation des credentials, durcissement de la configuration, activation du MFA
  • Supervision continue : détection proactive des accès anormaux sur votre périmètre réseau

Parlons de vos besoins et construisons ensemble la solution adaptée.

Nous contacter

Sources : The Register · Recherches Volodymyr Diachenko / SecurityDiscovery