Les identifiants de connexion de plus de 20 000 VPN Fortinet ont été publiés sur internet

Les identifiants de connexion de plus de 20 000 VPN Fortinet ont été publiés sur internet

Mardi 7 septembre 2021 à 19h09, l’opérateur de ransomware Groove a publié une archive contenant les identifiants de connexion et les adresses IP de 22,498 VPN Fortinet.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Cette archive nommée ze.gz contient 498,908 identifiants pouvant être utilisés par des attaquants afin d’accéder à l’infrastructure de nombreuses entreprises.

Le lien de cette archive a également été publié sur le forum RAMP le même jour à 19h13 par un administrateur du forum nommé Orange.
Cette information nous permet de confirmer que les deux sites sont liés et qu’ils sont gérés par le même groupe.

Ces identifiants semblent avoir été obtenus grâce à la vulnérabilité référencée CVE-2019-17655. Aucun correctif n’avait été publié pour la version 5.6 avant le mois d’août et les attaquants ont logiquement profité de cette vulnérabilité.

Une recherche a été effectuée hier matin pour l’ensemble de nos clients Serenety et nous pouvons ainsi confirmer que les identifiants divulgués sont valides et fonctionnels. Tous les clients impactés ont immédiatement été contactés.

Références

Hackers leak passwords for 500,000 Fortinet VPN accounts

Fortinet warns customers after hackers leak passwords for 87,000 VPNs


Noé Zalic

Analyste CERT-XMCO