FortiBleed

24 Juin, 2026 min de lecture
FortiBleed

Contexte

Des chercheurs en sécurité ont récemment mis au jour l’infrastructure opérationnelle d’un groupe cybercriminel, vraisemblablement russophone. Cette infrastructure contenait une base de données structurée d’identifiants valides pour des dizaines de milliers d’équipements Fortinet FortiGate (pare-feux nouvelle génération et passerelles SSL-VPN) déployés dans des entreprises à travers le monde.

Les investigations menées ont confirmé l’authenticité des données et estimé l’étendue de la compromission à environ 75 000 équipements, soit près de 50 % de l’ensemble des FortiGate exposés sur Internet. Certaines analyses suggèrent qu’une partie des identifiants recensés pourrait être issue de données historiques et ne plus être valide à ce jour. Néanmoins, cette réserve ne diminue pas la nécessité d’évaluer l’exposition potentielle des environnements concernés.

Méthodes d’attaque

  • Scan massif d’Internet à la recherche d’équipements FortiGate exposant leur interface d’administration ou via leur portail SSL-VPN
  • Credential stuffing : exploitation de listes d’identifiants issus de fuites de données antérieures et de bases infostealer
  • Password spraying et force brute : 1,16 milliard de tentatives d’authentification enregistrées contre 320 777 cibles FortiGate
  • Interception et craquage hors ligne des hachages d’authentification SSL-VPN à l’aide d’un cluster de 45 GPU (via l’outil Hashtopolis)

Chaîne d’attaque et impact

Une fois l’accès obtenu, les attaquants transforment l’équipement compromis en poste d’écoute passif : le trafic réseau transitant est intercepté, permettant la collecte de nouveaux identifiants en flux continu. Ce mécanisme auto-alimenté aurait permis la construction d’une base de données vérifiée, structurée par pays, secteurs et organisations ciblées.

Des cas documentés font état de pivots vers les environnements Active Directory internes, d’exfiltration de documents sensibles dont des documents classifiés dans le cas d’un sous-traitant de l’OTAN en Turquie et de compromissions opérationnelles au-delà du seul périmètre réseau.

Actions prioritaires

  • Mettre à jour Microsoft SharePoint Server Subscription Edition vers la version build 16.0.18526.20508.
  • Rotation immédiate des mots de passe : Modifier l’ensemble des mots de passe des comptes administrateurs et desutilisateurs VPN sur tous les équipements FortiGate.
  • Activation du MFA : Déployer l’authentification multifacteur (MFA) sur l’intégralité des accès administratifs et des connexions VPN.
  • Reconnexion administrative post-mise à jour : Après toute mise à jour de FortiOS, forcer la reconnexion de chaque administrateur. Cette action active le chiffrement PBKDF2 et protège les hachages stockés contre le craquage hors ligne.
  • Restriction de l’exposition Internet : Restreindre l’accès aux interfaces d’administration FortiGate depuis Internet (réserver l’accès au réseau interne ou à un réseau d’administration dédié). Désactiver le SSL-VPN si cette fonctionnalité n’est pas indispensable.


Des informations complémentaires sont disponibles dans le bulletin ci-dessous.

Bulletin du CERT Advens