Une nouvelle campagne de force brute frappe le VPN SSL de Fortinet lors d'une attaque coordonnée
Une recrudescence des attaques par force brute sur les produits Fortinet pourrait signaler une nouvelle vulnérabilité. Une chronologie montre un lien étroit entre les pics d'attaques et les failles de sécurité.
Une augmentation inhabituelle des cyberattaques contre les produits de sécurité de Fortinet a mis les experts en alerte. Le 3 août 2025, les chercheurs de l'entreprise de cybersécurité GreyNoise ont détecté une forte augmentation des attaques par force brute, avec plus de 780 adresses IP uniques ciblant les VPN SSL de Fortinet en une seule journée. Cette découverte a été révélée dans un rapport de recherche détaillé partagé avec Hackread.com.
Pour information, une attaque par force brute se produit lorsqu'un attaquant tente à plusieurs reprises de deviner un nom d'utilisateur ou un mot de passe pour pénétrer dans un système. L'analyse de ce trafic par GreyNoise a révélé une action ciblée et délibérée de la part des attaquants, et non un simple opportunisme. L'étude a également révélé que Hong Kong et le Brésil étaient les pays les plus ciblés au cours des 90 derniers jours.
Les experts en sécurité de GreyNoise ont observé deux vagues distinctes de ces attaques. La première était une attaque continue et de longue durée, mais une seconde vague, plus ciblée, a débuté le 5 août. Si le trafic initial du 3 août ciblait le principal système d'exploitation de Fortinet, FortiOS , les attaques ultérieures se sont déplacées vers FortiManager, un outil permettant de gérer et de configurer plusieurs appareils Fortinet. Cibler FortiManager pourrait permettre aux attaquants de compromettre des réseaux entiers plutôt que des systèmes individuels.
Les chercheurs ont également découvert un indice indiquant que les attaquants auraient pu lancer leurs outils depuis un réseau résidentiel , peut-être un ordinateur personnel. Bien que ce phénomène ne soit pas rare, il est inhabituel pour des attaques coordonnées d'une telle ampleur et pourrait signifier que les attaquants tentent de dissimuler leurs opérations sous l'apparence d'un trafic internet normal. Ce lien suggère un lien entre les attaques récentes et les activités antérieures observées en juin.
Selon une étude de GreyNoise, les pics de ce type de cyberattaques constituent souvent un signal d'alarme. L'entreprise a constaté que 80 % des attaques similaires contre les produits d'un fournisseur sont suivies de la divulgation publique d'une nouvelle vulnérabilité de sécurité.
Une chronologie de GreyNoise illustre visuellement ce lien. Le graphique ci-dessous montre que les points blancs, qui représentent un pic d'activité de force brute, apparaissent systématiquement avant ou en même temps que les points rouges, qui représentent une nouvelle vulnérabilité de sécurité publique (CVE). Cette corrélation suggère qu'une augmentation soudaine de l'activité des attaquants est un indicateur fort de la possibilité qu'une nouvelle faille soit bientôt découverte ou divulguée.
Face à cette nouvelle activité, il est conseillé aux clients Fortinet de rester vigilants et d'utiliser les outils de GreyNoise pour identifier et bloquer les adresses IP malveillantes. Hackread.com continuera de suivre de près la situation afin de détecter toute évolution.
HackRead
