Мащабна кампания срещу Fortinet firewalls и VPN gateways е засегнала десетки хиляди устройства по света. Става дума за близо 74 хил. уникални firewall URL адреса в 194 държави и над 21 хил. засегнати домейна.
Данните са представени като резултат от разследване на изследователя Volodymyr “Bob” Diachenko и последващ анализ на Hudson Rock. А основният инструмент на пробива: сканиране на публично достъпни Fortinet инстанции и тест срещу големи масиви от вече изтекли потребителски имена и пароли.
Проблемът не е само във Fortinet
Случаят е важен не само за организациите, които използват Fortinet. Той показва по-широк риск: устройствата на периметъра вече са една от най-ценните цели за нападателите.
Firewall, VPN gateway или remote access система често стоят между интернет и вътрешната мрежа. При успешен пробив нападателят получава много повече от достъп до едно устройство. Той може да стигне до вътрешни услуги, Active Directory, администраторски панели, служебни акаунти и чувствителна документация.
Според Hudson Rock групата зад кампанията е използвала мащабна инфраструктура за credential stuffing и brute-force атаки. В публикацията се посочват над 1 млрд. опита срещу FortiGate цели и още над 2 млрд. опита срещу MSSQL сървъри.
Описан е и сценарий, при който нападателите прихващат SSL VPN authentication hashes и ги разбиват чрез GPU клъстер.
Тези твърдения трябва да бъдат разглеждани внимателно, докато няма по-широко независимо потвърждение за целия мащаб. Посоката на риска обаче е ясна и вече е позната от други инциденти с Fortinet устройства през последните години.
Сложната парола не помага, когато вече е открадната
Най-важният урок от този тип атаки е неудобен за много организации и такива като нас, ИТ менидьъри: password complexity не е достатъчна защита.
Една 20-символна парола с главни букви, цифри и символи е силна само докато е тайна. При изтичане чрез infostealer, phishing, breach или компрометиран endpoint тя се превръща в обикновен ключ, който може да бъде пробван автоматизирано срещу VPN, firewall или външен портал.
Това е причината credential stuffing атаките да са толкова ефективни. Нападателят не се опитва да „познае“ паролата. Той използва вече открадната парола и проверява дали тя все още работи.
Ако ползвате Frotinet…
Първата стъпка е проверка дали организацията използва Fortinet устройства, които са достъпни от интернет. Това включва FortiGate, SSL VPN, административни интерфейси и всички услуги, които приемат логин отвън.
Следващата стъпка е принудителна смяна на паролите за VPN и административни акаунти. Това трябва да обхване не само вътрешните служители, а и външни доставчици, интегратори и партньори с достъп.
MFA трябва да бъде задължителна за всички външни входни точки. При липса на многофакторна автентикация всяка изтекла парола може да се превърне в директен достъп до мрежата.
Логовете на gateway устройствата трябва да се прегледат за необичайни входове: нови държави, странни часове, непознати IP адреси, новосъздадени администраторски акаунти, промени в конфигурацията и нетипичен трафик към вътрешни системи.
Добра практика е и проверка за компрометирани служебни имейли и пароли в threat intelligence източници. Това дава възможност рискът да бъде открит преди нападателите да го използват срещу инфраструктурата.
С две думи: FortiBleed е поредният сигнал, че откраднатите пароли са инфраструктурен риск, а не само потребителски проблем.
-
-
-
-
-
