L’éditeur, au courant de la divulgation, indique que la cause de cette fuite de données est liée à la vulnérabilité CVE-2018-13379.
Le Californien a enquêté, après la découverte en ligne de 87 000 jeux d’informations d’identification pour les dispositifs FortiGate SSL VPN. Selon lui, leur divulgation est le résultat de l’exploitation d’une ancienne vulnérabilité connue, la CVE-2018-13379.
Cette faille de sécurité a été corrigée en mai 2019. Mais un certain nombre de systèmes n’ont visiblement pas été mis à jour. Les informations volées ont été « obtenues à partir de systèmes qui n’étaient pas encore corrigés » au moment où un attaquant a effectué un scan des appareils vulnérables. FortiOS 6.0 (6.0.0 à 6.0.4), FortiOS 5.6 (5.6.3 à 5.6.7) et FortiOS 5.4 (5.4.6 à 5.4.12) sont affectés par cette faille de sécurité et sont vulnérables lorsque le service VPN SSL a été activé.
En mai 2019, Fortinet avait déjà alerté ses clients, puis il avait par la suite publié plusieurs articles de blog, d’août 2019 à juin 2021, détaillant ce problème et encourageant fortement les clients à mettre à niveau les appareils concernés. « Veuillez noter qu’une réinitialisation du mot de passe après la mise à niveau est essentielle pour se protéger contre cette vulnérabilité, au cas où les informations d’identification auraient déjà été compromises », conseille Carl Windsor, Field Chief Technology Officer chez Fortinet, dans un post.
Les conseils de Fortinet en cas d’utilisation d’une version affectée
-Désactivez tous les VPN (SSL-VPN ou IPSEC) jusqu’à ce que les étapes de correction suivantes aient été effectuées. Mettez immédiatement à niveau les appareils concernés vers la dernière version disponible
-Traitez toutes les informations d’identification comme potentiellement compromises en effectuant une réinitialisation de mot de passe à l’échelle de l’organisation. Mettez en œuvre une authentification multifacteur, qui contribuera à atténuer l’abus de toute information d’identification compromise, à la fois maintenant et à l’avenir.
-Informez les utilisateurs pour expliquer la raison de la réinitialisation du mot de passe et surveillez les services tels que HIBP pour votre domaine. Attention, si les mots de passe ont été réutilisés pour d’autres comptes, ils peuvent être utilisés dans des attaques de crédential stuffing.