Des chercheurs ont mis au jour un compromis à grande échelle de pare-feux Fortinet qui a exposé les identifiants en texte clair de près de 74 000 appareils dans 194 pays. La faille touche des organisations telles qu'Oracle, Chevron, Lenovo, FedEx et Fortinet lui-même, ainsi qu'un sous-traitant de défense de l'OTAN.
Bob Diachenko, un chercheur en sécurité, a découvert les données après avoir accédé au serveur de commande et de contrôle des attaquants. Les informations exposées incluent des identifiants pour des appareils dans des secteurs tels que les services informatiques, les télécommunications et les services financiers. Parmi les autres entités touchées listées dans la base de données figurent Foxconn, Samsung, Comcast, Siemens, PwC et Accenture.
Les attaquants, décrits comme russophones et motivés par des intérêts criminels, ont utilisé un scan massif et un binaire personnalisé pour cibler les points de terminaison de connexion à distance FortiGate. Ils ont ensuite employé un cluster de 45 GPU pour casser les hashs d'authentification, permettant un mouvement latéral vers des systèmes comme Microsoft Active Directory. Kevin Beaumont a confirmé que les identifiants restent valides et que la plupart des appareils compromis étaient toujours en ligne mercredi matin.
Les chercheurs de Hudson Rock ont noté que des documents de défense classifiés ont été exfiltrés d'un sous-traitant turc de l'OTAN. Les appareils compromis représentent environ la moitié de tous les pare-feux Fortinet exposés sur Internet. Diachenko, Beaumont et Hudson Rock ont exhorté les organisations touchées à vérifier immédiatement leurs réseaux.