La société de cybersécurité Arctic Wolf a révélé les détails d'une cybercampagne en cours ciblant les pare-feu Fortinet FortiGate dont les interfaces de gestion sont exposées sur l'internet public. Fortinet a confirmé l'exploitation de cette vulnérabilité zero-day après que les chercheurs en cybersécurité d'Arctic Wolf ont observé des campagnes d'exploitation de masse ciblant les pare-feu Fortinet exposés publiquement depuis novembre 2024.

Les appareils FortiGate NGFW comprennent une fonction standard permettant aux administrateurs d'accéder à l'interface de ligne de commande via l'interface de gestion basée sur le web, ce qui permet une gestion pratique.

Les acteurs de la menace exploitent ce qui est fortement soupçonné d'être une vulnérabilité zero-day, permettant un accès administratif non autorisé pour modifier les configurations de pare-feu, extraire des informations d'identification et se déplacer latéralement dans des environnements compromis.

Bien que l'étendue de la vulnérabilité n'a pas encore été confirmée, Arctic Wolf recommande vivement aux organisations utilisant des pare-feu FortiGate de désactiver immédiatement l'accès public à l'interface de gestion et de prendre des mesures de sécurité supplémentaires pour atténuer les risques potentiels.

« La campagne a impliqué des connexions administratives non autorisées sur les interfaces de gestion des firewalls, la création de nouveaux comptes, l'authentification VPN SSL via ces comptes, et divers autres changements de configuration ».

L'attaque semble opportuniste et ne vise aucun secteur ou type d'organisation en particulier. Elle a principalement exploité les vulnérabilités des dispositifs FortiGate utilisant les versions 7.0.14 à 7.0.16 du micrologiciel, publiées entre février et octobre 2024.

Pour dissimuler leur activité dans l'interface de ligne de commande jsconsole, les attaquants ont utilisé des adresses IP usurpées, y compris des adresses de bouclage (par exemple, 127.0.0.1) et des résolveurs DNS bien connus (par exemple, 8.8.8.8).

Arctic Wolf souligne l'importance cruciale de sécuriser les interfaces de gestion et de limiter l'accès aux seuls utilisateurs internes de confiance. Les principales recommandations sont les suivantes :

·         -  Désactiver immédiatement l'accès public aux interfaces de gestion : S'assurer que les interfaces de gestion du pare-feu sont inaccessibles depuis l'internet public.

·         -  Mettre à jour régulièrement les microprogrammes : Mettre à jour les dispositifs avec la dernière version stable afin de se prémunir contre les vulnérabilités connues.

·     - Surveiller les activités anormales : Rechercher des comportements de connexion inhabituels, tels que de multiples connexions d'administration de courte durée ou l'utilisation d'adresses IP de bouclage.

·         -  Utiliser l'authentification multifactorielle (MFA) : Renforcer la sécurité des connexions pour l'accès administratif.