Les chercheurs en sécurité tirent la sonnette d’alarme : une nouvelle faille critique dans les pare-feu Fortinet est activement exploitée par des hackers malveillants pour s’introduire dans les réseaux d’entreprise. Cette vulnérabilité, identifiée sous le code CVE-2024-55591, permet aux attaquants de contourner les défenses de sécurité et de prendre pied au cœur des systèmes d’information.
Une vulnérabilité zero-day exploitée depuis décembre
Selon les révélations des experts, les hackers tirent parti de cette faille depuis décembre 2024, bien avant que Fortinet n’en ait connaissance et ne publie les correctifs nécessaires. On parle alors d’une vulnérabilité zero-day, particulièrement critique car inconnue du fournisseur et donc non corrigée.
Les preuves pointent vers un effort visant à exploiter un grand nombre d’appareils dans un laps de temps restreint.
– Stefan Hostetler, chercheur chez Arctic Wolf
Un vecteur d’attaque prisé pour accéder aux réseaux d’entreprise
Cette vulnérabilité Fortinet n’est que le dernier exemple en date de l’exploitation par les hackers de failles dans des produits de sécurité d’entreprise pourtant conçus pour protéger les réseaux. Quelques jours plus tôt, une vulnérabilité zero-day dans les serveurs VPN Ivanti était aussi activement exploitée pour s’introduire dans les réseaux des clients.
Les pare-feu, VPN et autres équipements de sécurité réseau sont des cibles de choix pour les hackers :
- Ils sont connectés à la fois à Internet et au réseau interne, offrant un point d’entrée idéal
- Une fois le dispositif compromis, les attaquants ont souvent les pleins pouvoirs sur le réseau
- Ces équipements sont souvent mal sécurisés et rarement mis à jour
Fortinet reste discret sur l’ampleur de la compromission
Contacté par TechCrunch, le porte-parole de Fortinet Tiffany Curci a refusé de communiquer sur le nombre de clients touchés par cette campagne de hacking, indiquant seulement que la société « communiquait de manière proactive avec les clients ». La société avait déjà fait l’objet d’une intrusion en septembre dernier, un attaquant ayant eu accès à des données clients stockées dans le cloud.
Des opérateurs de ransomware potentiellement derrière l’attaque
Si l’identité des hackers exploitant cette faille Fortinet reste inconnue, le chercheur en cybersécurité Kevin Beaumont avance sur Mastodon qu’il pourrait s’agir d’un opérateur de ransomware. Les attaques par rançongiciel se multiplient en exploitant ce type de vulnérabilités pour chiffrer les données d’entreprises et réclamer d’importantes rançons.
Des attaques ransomware exploitant cette faille ne sont pas à exclure. Dans nos recherches précédentes, nous avons observé des affiliés de groupes ransomware comme Akira et Fog utiliser certains des mêmes fournisseurs réseau pour établir une connectivité VPN.
– Stefan Hostetler, Arctic Wolf
Réagir rapidement pour se prémunir des attaques
Face à cette vulnérabilité activement exploitée, la réaction doit être rapide pour éviter une compromission. L’agence américaine de cybersécurité (CISA) exhorte tous les clients Fortinet à mettre à jour en urgence les équipements affectés vers la dernière version corrigeant la faille.
Au-delà de ce correctif ponctuel, il est crucial pour les entreprises de :
- Maintenir une hygiène de sécurité irréprochable sur leurs équipements réseau
- Appliquer les mises à jour de sécurité sans délai
- Surveiller et investiguer toute activité suspecte
- Segmenter le réseau pour limiter la propagation en cas d’intrusion
- Sensibiliser les équipes à ces menaces qui ciblent la « supply chain » de sécurité
Dans un contexte de menace constante, chaque vulnérabilité critique doit être prise avec le plus grand sérieux. Les attaquants sont à l’affût de la moindre faille pour s’infiltrer dans les réseaux d’entreprise, avec des conséquences potentiellement dévastatrices en termes financiers et de réputation. Seule une approche proactive et globale de la sécurité, adressant chaque maillon de la chaîne, peut permettre de faire face à ces risques grandissants.
