Mardi 7 septembre 2021 à 19h09, l’opérateur de ransomware Groove a publié une archive contenant les identifiants de connexion et les adresses IP de 22,498 VPN Fortinet.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Cette archive nommée ze.gz contient 498,908 identifiants pouvant être utilisés par des attaquants afin d’accéder à l’infrastructure de nombreuses entreprises.
Le lien de cette archive a également été publié sur le forum RAMP le même jour à 19h13 par un administrateur du forum nommé Orange.
Cette information nous permet de confirmer que les deux sites sont liés et qu’ils sont gérés par le même groupe.
Ces identifiants semblent avoir été obtenus grâce à la vulnérabilité référencée CVE-2019-17655. Aucun correctif n’avait été publié pour la version 5.6 avant le mois d’août et les attaquants ont logiquement profité de cette vulnérabilité.
Une recherche a été effectuée hier matin pour l’ensemble de nos clients Serenety et nous pouvons ainsi confirmer que les identifiants divulgués sont valides et fonctionnels. Tous les clients impactés ont immédiatement été contactés.
Références
Hackers leak passwords for 500,000 Fortinet VPN accounts
Fortinet warns customers after hackers leak passwords for 87,000 VPNs
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article