Fortinet : Diverses vulnérabilités exploitées, une administration américaine piratée
Le FBI a émis une alerte flash jeudi après avoir découvert qu’une administration locale américaine a été attaqué au travers de vulnérabilités Fortinet au début du mois.
Le communiqué indique qu’un « groupe APT a très certainement exploité une appliance FortiGate pour accéder à un serveur web hébergeant le domaine d’une administration municipale américaine ».
« Les attaquants ont probablement créé un compte avec le nom d’utilisateur “elie” pour permettre une activité malveillante supplémentaire sur le réseau », selon l’alerte.
Des avertissements multiples sur les failles exploitées
Le FBI n’a pas précisé quelle administration locale a été attaquée, mais cette dernière publication fait suite à de multiples avertissements concernant des cyberattaquants exploitant des vulnérabilités liées à Fortinet.
« Le FBI et le CISA ont précédemment averti en avril 2021 que des acteurs APT avaient obtenu l’accès à des dispositifs sur les ports 4443, 8443 et 10443 pour Fortinet FortiOS CVE-2018-13379, et des dispositifs énumérés pour FortiOS CVE-2020- 12812 et FortiOS CVE-2019-5591. ».
En s’introduisant dans les systèmes par le biais des vulnérabilités de Fortinet, les cyberattaquants, potentiellement soutenus par des Etats, peuvent « exfiltrer et chiffrer des données, ou s’adonner à d’autres activités malveillantes ». Le communiqué note que d’après l’enquête, il semble que les acteurs derrière l’attaque se concentrent sur l’exploitation de cette vulnérabilité spécifique plutôt que d’attaquer des cibles ou des industries spécifiques.
Sécuriser les systèmes en prévention
Toutes les vulnérabilités énumérées concernent Fortinet FortiOS, un système d’exploitation qui constitue l’épine dorsale de Fortinet Security Fabric. La société précise qu’il a été conçu pour proposer une meilleure sécurité aux entreprises, des déploiements cloud et des réseaux centralisés. Mais malgré les avertissements, il semble que les groupes APT soient toujours en mesure d’exploiter les vulnérabilités.
Sean Nikkel, analyste principal des renseignements sur les cybermenaces chez Digital Shadows, note malgré tout que toutes les vulnérabilités énumérées dans l’avis datent d’au moins un an, ce qui souligne la nécessité pour les institutions gouvernementales d’améliorer la gestion des correctifs.
« C’est un rappel important, car les cyberattaquants ne ciblent pas seulement Fortinet. L’utilisation des principes du moindre privilège, l’exécution de mises à jour et de correctifs réguliers, la segmentation du réseau, l’utilisation de sauvegardes et le renforcement des processus de connexion contribuent grandement à la sécurisation du domaine », explique-t-il. « On peut dire sans se tromper que la plupart des cyberattaquants et APT comptent sur la difficulté des entreprises à appliquer ces directives, et le fait qu’ils réussissent ne fait que le souligner. »
Source : ZDNet.com
