Une faille zero-day probablement à l’origine d’attaques contre les pare-feu Fortinet

Une campagne d’attaques en cours cible les pare-feu FortiGate dont les interfaces de gestion sont exposées sur Internet public. Les attaquants exploitent probablement une faille zero-day pour accéder aux appareils, effectuer des modifications non autorisées, créer de nouveaux comptes et réaliser des authentifications SSL VPN. Les chercheurs d’Arctic Wolf, qui suivent cette campagne depuis décembre, ont observé des activités suspectes sur des appareils FortiGate, notamment des modifications de configurations et l’utilisation de techniques comme DCSync pour extraire des identifiants.

Une campagne opportuniste et persistante

Les victimes de cette campagne ne semblent pas appartenir à un secteur ou une taille d’organisation spécifique, ce qui suggère que les attaquants ont adopté une approche opportuniste plutôt que ciblée. Bien que les chercheurs n’aient pas fourni de détails sur l’ampleur de la campagne, ils ont noté que les attaques se déroulent en quatre phases distinctes, toujours en cours.

1. Phase de scan de vulnérabilités (mi-novembre) : Les attaquants identifient les appareils vulnérables.
2. Phase de reconnaissance (fin novembre) : Ils collectent des informations sur les systèmes ciblés.
3. Phase de configuration SSL VPN (début décembre) : Ils modifient les configurations pour accéder aux réseaux.
4. Phase de mouvement latéral (mi à fin décembre) : Ils se déplacent à l’intérieur des réseaux compromis.

Les chercheurs ont également observé des centaines, voire des milliers, de connexions jsconsole provenant d’adresses IP suspectes, la plupart étant de courte durée.

L’exploitation de l’interface jsconsole

Les attaquants ont largement utilisé l’interface jsconsole, une fonctionnalité standard des pare-feu FortiGate permettant aux administrateurs d’accéder à l’interface de ligne de commande via l’interface web de gestion. Contrairement aux activités légitimes, les attaquants ont exploité cette interface à partir d’adresses IP inhabituelles, modifiant les configurations et créant de nouveaux comptes.

Bien que les chercheurs n’aient pas de confirmation directe de l’utilisation de commandes spécifiques, les activités observées correspondent à un schéma similaire d’exploitation de jsconsole. Ils estiment également que plusieurs individus ou groupes pourraient être impliqués, étant donné les différences subtiles dans les techniques et infrastructures utilisées.

Recommandations pour se protéger

Les chercheurs soulignent que les appareils Fortinet sont souvent ciblés par les cybercriminels en raison de vulnérabilités connues. Pour se protéger, les organisations doivent :

1. Ne pas exposer les interfaces de gestion sur Internet public : Limiter l’accès aux utilisateurs internes de confiance.
2. Mettre à jour régulièrement le firmware : Appliquer les correctifs pour combler les failles de sécurité.
3. Configurer la surveillance syslog : Surveiller les journaux des pare-feu pour détecter rapidement les activités malveillantes.

En conclusion, cette campagne met en lumière les risques liés à l’exposition des interfaces de gestion sur Internet et l’importance de maintenir les systèmes à jour. Les organisations doivent adopter des pratiques de sécurité rigoureuses pour limiter les surfaces d’attaque et se protéger contre les menaces persistantes.