Un acteur malveillant a divulgué les identifiants d’accès en ligne de 87 000 appareils VPN Fortinet qui ont apparemment été compromis à l’aide d’une vulnérabilité identifiée et corrigée il y a deux ans.

Environ 500 000 informations d’identification pour les appareils FortiGate SSL-VPN ont été divulguées en ligne la semaine dernière, offrant essentiellement à toute personne l’accès aux appareils d’organisations dans 74 pays à travers le monde.

Au total, 22 500 entités seraient concernées, dont près de 3 000 situées aux États-Unis. D’autres sont situés en France, en Inde, en Italie, en Israël et à Taïwan.

Les informations d’identification, selon Fortinet, ont été volées sur des appareils encore vulnérables à CVE-2018-13379, une vulnérabilité de traversée de chemin dans le portail Web FortiOS SSL VPN, qui est connue pour avoir été exploitée dans des attaques en direct.

Un attaquant non authentifié pourrait utiliser des requêtes HTTP spécialement conçues pour exploiter la faille de sécurité et télécharger des fichiers système à partir du portail Web SSL VPN. Les identifiants de connexion se trouvent dans les fichiers système de FortiOS.

Fortinet a également averti que les appareils qui ont reçu le correctif pour CVE-2018-13379 peuvent continuer à être vulnérables si le mot de passe compromis n’est pas modifié après le déploiement complet du correctif.

[ READ: Hackers Target Vulnerabilities in Fortinet, Pulse Secure Products ]

« Fortinet réitère que, si à tout moment votre organisation exécutait l’une des versions concernées répertoriées ci-dessous, même si vous avez mis à niveau vos appareils, vous devez également effectuer la réinitialisation du mot de passe utilisateur recommandée après la mise à niveau, conformément au bulletin d’assistance client et à d’autres informations consultatives. Sinon, vous risquez de rester vulnérable après la mise à niveau si les informations d’identification de vos utilisateurs ont déjà été compromises », a déclaré la société.

Les informations d’identification divulguées ont été publiées en ligne par un membre de l’opération de ransomware Groove, selon les chasseurs de menaces qui suivent les campagnes de ransomware.

Il est conseillé aux propriétaires d’appareils FortiGate SSL-VPN de mettre à jour…

Voir la source de cette publication