CONSCIENT
NESS

FortiBleed montre pourquoi les pare-feu et les passerelles VPN sont désormais des priorités en matière de risques d'identité

FortiBleed met en évidence comment les pare-feu et les passerelles VPN sont devenus des cibles critiques de risque d'identité, exposant pourquoi les équipes de sécurité doivent repenser l'accès, la confiance et le renforcement des appareils.

Les pare-feu orientés Internet et les passerelles VPN restent parmi les cibles les plus précieuses pour les attaquants car ils se situent à la frontière entre les environnements d'entreprise fiables et Internet. Lorsque ces appareils sont accessibles avec des informations d'identification valides, l'incident peut rapidement passer de l'exposition du périmètre à la compromission interne, au mouvement latéral, au vol d'informations d'identification et à la perturbation opérationnelle.

Une campagne à grande échelle ciblant les appareils Fortinet FortiGate met en évidence ce risque. Des dizaines de milliers d'appareils auraient été affectés, les attaquants utilisant le bourrage d'identifiants, les techniques de force brute, les mots de passe divulgués et potentiellement des faiblesses dans le stockage d'anciens identifiants pour accéder aux pare-feu et aux passerelles VPN dans de nombreux pays et secteurs.

Pour les RSSI, les DSI, les responsables des risques et les propriétaires d'infrastructure, la question n'est pas seulement de savoir si un appareil spécifique a été compromis. La préoccupation plus large est de savoir si les plateformes de sécurité périmétrique sont gérées avec la même rigueur que les systèmes d'identité, l'accès privilégié, les plans de contrôle cloud et les autres actifs à fort impact.

Pourquoi cette campagne est importante

La campagne, communément appelée FortiBleed, aurait touché 86 644 appareils FortiGate. L'activité impliquerait des acteurs de la menace russophones et se concentrerait sur les points d'accès de connexion à distance Fortinet accessibles via Internet.

L'aspect le plus préoccupant est que les attaquants ne s'appuient pas uniquement sur l'exploitation de logiciels. Ils utilisent identifiants valides à grande échelle. Cela change le défi de la défense. Une connexion utilisant un vrai nom d'utilisateur et mot de passe peut ne pas déclencher les mêmes alertes qu'une tentative d'exploitation, surtout si les organisations manquent d'une surveillance administrative solide, d'une authentification multifacteur résistante au phishing, ou de contrôles stricts d'accès au plan de gestion.

Les données d'identification associées à la campagne révèlent un grave problème d'hygiène d'entreprise :

  • Les comptes d'administrateur génériques représentent environ 35% des identifiants piratés.
  • Les comptes système intégrés de Fortinet représentent environ 28,31 TP3T.
  • Les comptes spécifiques à une organisation représentent environ 36,71 TP3T.

Cela indique que les attaquants tirent parti à la fois d'une mauvaise gouvernance des comptes par défaut et d'identifiants compromis créés par les organisations elles-mêmes. En pratique, certains environnements peuvent encore utiliser des structures de comptes prévisibles, des mots de passe faibles ou réutilisés, des identifiants exposés lors d'incidents précédents, ou des comptes qui n'ont jamais été remplacés après une compromission connue.

Résumé pour la direction : Ce n'est pas seulement un problème de pare-feu. C'est un problème d'identité, d'accès privilégié, de gouvernance de la configuration et d'exposition du périmètre.

Comment l'attaque fonctionne

La campagne semble suivre un modèle hautement automatisé et autonome.

Les attaquants scannent d'abord Internet à la recherche de points d'accès de connexion à distance Fortinet. Une fois ces appareils identifiés, ils utilisent un outil personnalisé pour tester des combinaisons de noms d'utilisateur et de mots de passe connues contre eux. Ces combinaisons peuvent provenir de violations précédentes, d'ensembles d'identifiants divulgués, de mots de passe réutilisés ou de pratiques administratives laxistes.

La chaîne d'attaque peut être résumée en deux étapes :

1. Les attaquants tentent d'utiliser une liste ciblée d'identifiants divulgués ou connus liés à Fortinet contre des appareils exposés sur Internet.

2. Après avoir obtenu l'accès, ils surveillent passivement le trafic passant par l'appareil pour collecter des informations d'identification supplémentaires, qui peuvent ensuite être utilisées pour compromettre davantage d'appareils.

Ce modèle est particulièrement dommageable car il peut s'aggraver avec le temps. Chaque connexion réussie peut donner accès à des informations d'identification supplémentaires, des données de configuration, des chemins d'accès VPN, des intégrations d'annuaires ou des renseignements sur le réseau.

Les attaquants vérifieraient les identifiants avant de les ajouter à une base de données de connexions fonctionnelles confirmées. Cela crée un inventaire de grande valeur de voies d'accès valides aux environnements d'entreprise.

Pourquoi les pare-feu et les passerelles VPN sont des actifs à fort impact

Les pare-feu, les passerelles VPN et les appareils d'accès sécurisé sont souvent considérés comme faisant partie de l'infrastructure plutôt que des actifs d'identité. C'est une erreur de gouvernance. Ces systèmes détiennent ou traitent fréquemment des informations hautement sensibles, notamment :

  • Identifiants administratifs.
  • Comptes utilisateurs VPN.
  • Informations d'identification pour l'intégration LDAP, Active Directory ou RADIUS.
  • Infrastructure réseau et informations de routage.
  • Politiques de sécurité et règles de segmentation.
  • Journaux montrant les modèles d'authentification et les destinations internes.
  • Accès à distance dans les environnements de production, cloud, d'entreprise et parfois opérationnels.

Dans les services bancaires et financiers, le compromis de ces systèmes peut exposer les environnements de paiement, les plateformes clients, les systèmes de fraude et les flux de données réglementés. Dans le secteur de la santé, cela peut affecter l'accès à distance aux systèmes cliniques et aux données des patients. Dans la fabrication, l'énergie, les transports et les services publics, le compromis des VPN et des pare-feu peut créer un chemin vers les environnements de technologie opérationnelle ou les canaux de maintenance à distance. Dans le secteur public et les infrastructures critiques, le risque comprend la perturbation des services, les préoccupations souveraines et l'escalade réglementaire.

Impact opérationnel : Un appareil de périmètre compromis peut devenir à la fois un point d'entrée et une plateforme de collecte de renseignements. Les attaquants n'ont peut-être pas besoin de déployer immédiatement des logiciels malveillants s'ils peuvent observer le trafic, capturer des identifiants et préparer discrètement les mouvements latéraux.

Le hachage des informations d'identification héritées augmente le risque

Un facteur technique important concerne la manière dont les informations d'identification d'administrateur ont été historiquement stockées dans les fichiers de configuration FortiGate.

Fortinet a introduit le hachage de mots de passe basé sur PBKDF2 pour les identifiants administrateur dans FortiOS 7.2.11, 7.4.8 et 7.6.1. PBKDF2 est une fonction de dérivation de clé plus robuste basée sur des mots de passe, conçue pour rendre le piratage de mots de passe plus résistant que les approches de hachage plus anciennes.

Cependant, il y a une mise en garde importante : lorsque les organisations effectuent une mise à niveau à partir de versions antérieures, les mots de passe administrateur existants peuvent rester stockés à l'aide du hachage hérité basé sur SHA-256 jusqu'à ce que l'administrateur concerné se connecte avec succès après la mise à niveau. En conséquence, certains environnements peuvent croire qu'ils ont été mis à niveau vers une version plus sûre tout en conservant d'anciens hachages d'informations d'identification pour les comptes qui n'ont pas été actualisés par une connexion ou une rotation.

Pour les responsables de la sécurité, cette distinction est importante. Les mises à niveau de version sont nécessaires, mais elles peuvent ne pas suffire si des informations d'identification obsolètes subsistent dans les configurations.

Point clé : La gestion des correctifs doit être associée à la rotation des informations d'identification et à la vérification du comportement de stockage cryptographique. Sinon, un risque résiduel peut subsister une fois la mise à niveau technique terminée.

Actions Immédiates pour les Équipes de Sécurité et d'Infrastructure

Les organisations utilisant des appliances Fortinet FortiGate devraient considérer ceci comme une tâche prioritaire de gestion des expositions et de réponse aux incidents, surtout lorsque les interfaces d'administration ou VPN sont accessibles depuis Internet.

Les actions recommandées incluent :

  • Terminez toutes les sessions SSL VPN actives et administratives.
  • Réinitialiser tous les mots de passe VPN et administratifs Fortinet, en particulier sur les systèmes exposés sur Internet.
  • Appliquer des politiques de mots de passe robustes et éliminer la réutilisation des mots de passe sur les plateformes d'infrastructure.
  • Activer l'authentification multifacteur résistante au hameçonnage sur toutes les passerelles externes et les interfaces administratives.
  • Effectuez une mise à niveau vers les versions actuelles prises en charge de FortiOS, y compris les dernières versions des branches 7.4, 7.6 ou 8.0, le cas échéant.
  • Assurez-vous que les identifiants administrateur sont stockés à l'aide de PBKDF2 et supprimez les hachages hérités plus faibles.
  • Examiner les journaux du pare-feu, du VPN, de l'authentification et du contrôleur de domaine pour détecter tout comportement suspect.
  • Inspecter les configurations pour détecter les changements non autorisés, les utilisateurs inattendus, les nouveaux comptes, les modifications de politiques ou les paramètres d'accès à distance altérés.
  • Audit pour un accès administrateur inattendu depuis des adresses IP inconnues.
  • Surveiller les mouvements latéraux, les modèles d'authentification inhabituels et l'utilisation des comptes d'intégration d'annuaire en dehors des contextes attendus.
  • Restreignez l'accès à la gestion externe à l'aide d'hôtes de confiance, de politiques locales ("local-in policies") ou, de préférence, en supprimant complètement l'administration accessible sur Internet.

Si l'environnement Fortinet s'intègre à Active Directory, LDAP ou à un autre fournisseur d'identité, tout compte de service utilisé pour cette intégration doit être considéré comme potentiellement compromis jusqu'à validation. Les équipes de sécurité doivent surveiller si ce compte a été utilisé ailleurs, si de nouveaux comptes ont été créés et si les modèles d'authentification suggèrent des mouvements latéraux.

Gouvernance pour les RSSI et les responsables des risques

Cet incident renforce plusieurs leçons récurrentes pour les programmes de cybersécurité.

Premièrement, les appareils de périmètre doivent être inclus dans la gestion des accès privilégiés et la gouvernance des identités. Les comptes administratifs sur les pare-feu et les passerelles VPN doivent être inventoriés, surveillés, protégés par l'authentification multifacteur (MFA) et examinés régulièrement.

Deuxièmement, les interfaces de gestion exposées sur Internet devraient être l'exception, et non la règle. Si une administration à distance est nécessaire, elle devrait être limitée aux sources de confiance, protégée par une authentification forte, enregistrée centralement et examinée en continu.

Troisièmement, la rotation des identifiants doit être opérationnalisée après des incidents, des mises à niveau, des changements de personnel, des modifications d'accès des fournisseurs et des événements de configuration majeurs. Les organisations patchtent souvent les appareils mais omettent de faire pivoter les mots de passe, laissant ainsi des identifiants valides à la disposition des attaquants.

Quatrièmement, la gestion de l'exposition devrait valider non seulement les vulnérabilités, mais aussi les services joignables, les chemins d'authentification faibles, les comptes par défaut, les comptes obsolètes et les interfaces administratives exposées sur Internet.

Enfin, les journaux des pare-feu, des passerelles VPN, des fournisseurs d'identité et des contrôleurs de domaine doivent être corrélés. Une connexion valide à un périphérique périmétrique peut être le premier signe visible d'une compromission plus large.

Ce qu'il faut communiquer aux cadres

Les responsables de la sécurité devraient aborder cette question en termes commerciaux :

  • Un pare-feu ou une passerelle VPN compromis peut donner un accès direct à des environnements critiques.
  • Des identifiants valides rendent la détection plus difficile que les attaques traditionnelles basées sur l'exploitation.
  • Le risque couvre la disponibilité, la protection des données, l'exposition réglementaire et la continuité opérationnelle.
  • Une remédiation immédiate peut nécessiter la terminaison de session, la réinitialisation des mots de passe, l'application de l'authentification multifacteur, des restrictions d'accès et un examen de la configuration.
  • Plus les appareils exposés restent sans mesure corrective, plus le risque de vol d'informations d'identification et de mouvement latéral augmente.

C'est aussi une occasion de renforcer la gouvernance autour de toutes les technologies d'accès périphérique et distant, pas seulement des appareils Fortinet.

Renforcer la résilience au-delà de cette campagne

La réponse pratique devrait combiner une première phase de confinement urgent avec une amélioration du contrôle à long terme. Les organisations devraient identifier tous les appareils de sécurité exposés sur Internet, confirmer les versions logicielles, valider le stockage des identifiants, faire pivoter les identifiants privilégiés, imposer l'authentification multifacteur (MFA) et supprimer les chemins de gestion externes inutiles.

La leçon la plus importante est claire : l'infrastructure périmétrique fait désormais partie de la surface d'attaque d'identité. Traiter les pare-feu et les passerelles VPN comme des appareils réseau statiques ne suffit plus. Ils doivent être gérés comme des points de contrôle privilégiés et critiques pour l'entreprise, dont la compromission peut affecter la résilience, la conformité, la confiance des clients et la continuité opérationnelle dans toute l'entreprise.

L'IA peut accélérer la GRC, mais une gouvernance efficace des cyber-risques dépend toujours du contexte humain, de la responsabilité et du jugement pour guider les décisions, interpréter les risques et garantir des résultats responsables...

EN SAVOIR PLUS

La gouvernance de l'IA et l'épuisement professionnel des RSSI ne sont plus des problèmes secondaires — ce sont des facteurs critiques qui façonnent la résilience cybernétique, la gestion des risques et l'avenir des opérations commerciales sécurisées...

EN SAVOIR PLUS

Une vague de 24 milliards d'identifiants exposés oblige les dirigeants à repenser la sécurité des identités, la gouvernance et les risques commerciaux croissants liés aux accès compromis...

EN SAVOIR PLUS