Le fournisseur de solutions de sécurité réseau Fortinet a confirmé qu'un acteur malveillant avait divulgué sans autorisation 500 000 noms de connexion et des mots de passe VPN associés à 87 000 pare-feu FortiGate.

L’entreprise a révélé que l’acteur a obtenu ces informations d'identification à partir de systèmes qui n'étaient pas protégés contre la faille CVE-2018-13379 au moment de l'analyse. Même s'ils ont été corrigés depuis, si les mots de passe n'ont pas été réinitialisés, ils restent vulnérables. Cette déclaration fait suite à la fuite gratuite d'une liste d'informations d'identification Fortinet par l'attaquant sur un nouveau forum appelé RAMP, lancé en juillet 2021, ainsi que sur le site de fuite de données du ransomware Groove. Advanced Intel a noté que la "liste des violations contient des accès bruts aux principales entreprises" dans 74 pays.

La CVE-2018-13379 concerne une vulnérabilité de path-traversal dans le portail web FortiOS SSL VPN, qui permet à des attaquants non authentifiés de lire des fichiers système arbitraires, y compris le fichier de session, qui contient des noms d'utilisateur et des mots de passe stockés en clair.

Bien que la faille ait été rectifiée en mai 2019, elle a été exploitée à plusieurs reprises par de multiples adversaires pour déployer un ensemble de charges utiles malveillantes sur des appareils non patchés, ce qui a incité Fortinet à publier une série d'avis en août 2019, juillet 2020, avril 2021 et à nouveau en juin 2021, exhortant les clients à mettre à niveau leurs appareils.

CVE-2018-13379 est également devenue l'une des failles les plus exploitées en 2020, selon une liste compilée par les agences de renseignement d'Australie, du Royaume-Uni et des États-Unis plus tôt cette année.

Face à cette fuite, Fortinet recommande aux entreprises de désactiver immédiatement tous les VPN, de mettre à niveau les dispositifs vers FortiOS 5.4.13, 5.6.14, 6.0.11 ou 6.2.8 et plus, puis de lancer une réinitialisation du mot de passe au niveau de l'entreprise, en avertissant que les dispositifs peuvent rester vulnérables après la mise à niveau si les informations d'identification des utilisateurs ont été compromises auparavant.