Les données de 15 000 pare-feux FortiGate divulguées sur le dark web

Les données de 15 000 pare-feux FortiGate divulguées sur le dark web

Des pirates ont publié sur le dark web les identifiants de configuration et de connexion de 15 000 firewalls Fortinet FortiGate. Il s’agit de données plus anciennes qui ne sont pas liées à une récente faille de sécurité.

Het is nog geen goede jaar geweest voor beveiligingsspecialist voor Fortinet. Terwijl het bedrijf kampt met een beveiligingslek in zijn FortiGate-firewalls, is een week geleden een database met gelekte gegevens van diezelfde apparaten opgedoken. Fortinet bevestigt het lek, maar benadrukt dat het gaat om gegevens uit 2022 of ouder die niet gelinkt zijn aan het meest recente incident.

De database bevat gegevens van maar liefst 15.000 FortiGate-apparaten. Het gaat om configuratiegegevens, maar ook IP-adressen, domeinnamen en VPN-inloggegevens. Die combinatie kan hackers vrije toegang geven tot het netwerk van bedrijven.

Mexique

Le journal allemand Heise a passé les données au crible et a constaté que la plupart des appareils concernés provenaient du Mexique (1 603) et des États-Unis (679). Mais la fuite a également un impact sur les entreprises européennes. 208 des pare-feu affectés proviennent d’Allemagne. Aucun autre pays n’est mentionné.

Il est très inhabituel qu’une base de données de cette taille soit partagée gratuitement d’un seul coup. Les pirates informatiques ne partagent généralement qu’un “échantillon test” des données divulguées pour en prouver l’authenticité. Le groupe Belsen Group serait à l’origine de la fuite, selon Bleeping Computer. Il s’agit d’un nouveau nom dans le monde des pirates informatiques qui pourrait vouloir se mettre en avant avec cette action.

Anciennes données

Les données ont vraisemblablement été saisies en 2022 ou avant. En octobre 2022, Fortinet a déployé le correctif FortiOS 7.2.2 pour ses pare-feu afin de combler une faille de sécurité qui était activement exploitée à l’époque. Les experts soupçonnent que cette vulnérabilité (CVE-2022-40684) a été exploitée pour voler des données. Les pare-feu figurant dans la base de données fonctionnaient sur des versions plus anciennes du système d’exploitation.

lire aussi

Les données de 15 000 pare-feux FortiGate divulguées sur le dark web

Dat het om oudere gegevens gaat, maakt het lek daarom niet minder schadelijk. Heise ontdekte dat tientallen IP-adressen in de database nog steeds toegankelijk zijn. In combinatie met de VPN-inloggegevens kan de database hackers nog nuttige informatie bezorgen om de toegankelijke netwerken binnen te dringen, als de inloggegevens sindsdien niet meer veranderd zijn.

Beveiligingsonderzoekers hebben via GitHub een lijst met domeinen gedeeld die kunnen worden teruggevonden in het gelekte bestand. Dat doen ze om de betrokkenen te waarschuwen zodat zij actie kunnen ondernemen. De lijst omvat lang niet alle slachtoffers, maar enkel beheerders die een emailparameter hadden ingeschakeld.

De geschiedenis dreigt zich te herhalen voor Fortinet. Het bedrijf worstelt met een kritiek lek in FortiGate-firewalls dat actief wordt misbruikt. Kwetsbaarheden kunnen jaren later nog als een boemerang terugkeren voor beveiligingsleveranciers.


Dit artikel verscheen origineel op 16 januari en kreeg een update met de recentste informatie.