Обнаружена масштабная кампания по компрометации учетных данных под кодовым названием «Fortibleed», которая привела к раскрытию данных десятков тысяч устройств Fortinet по всему миру. Исследователи предупреждают о сохраняющемся доступе злоумышленников к затронутым корпоративным средам.
О кампании впервые сообщил исследователь безопасности Володимир Дяченко, который опубликовал в LinkedIn информацию о списке потенциально рабочих паролей FortiGate, контролируемом злоумышленником и собранном «различными способами».
Дополнительные подробности предоставила компания SOCRadar после того, как ее команда независимо обнаружила операционный сервер, принадлежащий неназванному субъекту угроз, содержащий список украденных паролей FortiGate, инструменты, инфраструктуру автоматизации, список жертв и некоторую показательную информацию о возможных организаторах атаки.
«Атрибуция продолжается, но операционные отпечатки ясны», — заявили исследователи SOCRadar в записи в блоге, добавив, что выбор инструментов и целей соответствует русскоязычным субъектам угроз.
Согласно независимым анализам, проведенным, в частности, SOCRadar, Hudson Rock и исследователем безопасности Кевином Бомонтом, субъекты угроз систематически собирали конфигурационные файлы с общедоступных межсетевых экранов Fortinet FortiGate и использовали их для восстановления рабочих учетных данных администратора. Первоначальный вектор доступа на данный момент неизвестен.
Генеральный директор watchTowr Бенджамин Харрис отметил, что кампания соответствует тому, что он наблюдал в последнее время. «Неудобная правда заключается в том, что современная эксплуатация не всегда связана с немедленным воздействием», — сказал он. «Она заключается в сборе данных, которые сохраняют ценность долго после того, как основная уязвимость была исправлена».
Эти учетные данные, вероятно, накапливались с течением времени путем эксплуатации множества уязвимостей, затрагивающих конфиденциальные, внешне доступные приложения Fortinet, добавил он.
Fortinet не сразу ответила на запрос CSO о комментариях.
Взломанные пароли, глобальный охват
В то время как SOCRadar первоначально сообщила, что набор данных содержит рабочие учетные данные для входа в систему для более чем 30 791 устройства, дальнейший анализ, проведенный Бомонтом совместно с Hudson Rock, показал, что затронутых устройств насчитывается 75 000, что составляет около 50% всех общедоступных межсетевых экранов Fortinet, обнаруженных на Shodan.
Исследователи обнаружили затронутые устройства в 194 странах, охватывающие более 21 000 доменов.
Сообщается, что набор данных содержит смесь административных учетных данных и учетных данных SSL VPN, восстановленных из скомпрометированных конфигурационных файлов. Исследователи заявили, что операция высоко автоматизирована, что позволяет субъектам угроз собирать, обрабатывать и взламывать учетные данные в очень больших масштабах.
SOCRadar обнаружила, что странами с наибольшим количеством пострадавших являются Индия, США и Мексика, на которые приходится чуть менее 12 000 скомпрометированных учетных записей. Анализ типов учетных данных показал, что наибольшее количество запросов было направлено на учетные данные, специфичные для организаций, что указывает на нацеленность на предприятия.
Объясняя потенциальное воздействие, Бомонт заявил, что субъекты угроз «могут входить в систему удаленно и получать удаленный доступ к межсетевому экрану — а значит, и к сети». Они также могут изменять настройки, включая средства контроля безопасности, и создавать учетные записи с бэкдором, добавил он.
Старые хеши, новые проблемы
Дополнительное расследование кампании выявило, почему некоторые развертывания Fortinet оказались более легкими для взлома, чем другие.
Исследователи отметили, что многие затронутые системы хранили учетные данные администратора с использованием устаревших методов хеширования, которые были значительно менее устойчивы к офлайн-атакам по подбору паролей, чем более новые реализации.
«Fortinet ввела хеширование паролей на основе PBKDF2 для учетных записей администраторов в FortiOS 7.2.11, 7.4.8 и 7.6.1, заменив устаревший механизм хранения на основе SHA-256», — объяснили исследователи Arctic Wolf в записи в блоге. «Однако при обновлении с более ранних версий существующие пароли администраторов остаются сохраненными в виде хешей SHA-256 до тех пор, пока соответствующий администратор не войдет в систему после обновления».
Это может приводить к тому, что многие организации продолжают хранить учетные данные администратора с использованием старых механизмов хеширования SHA-256 с солью, отметили они.
Защитникам велено предполагать компрометацию учетных данных
Исследователи настоятельно призвали организации исходить из того, что учетные данные, содержащиеся в раскрытых конфигурационных файлах FortiGate, были скомпрометированы, и немедленно сменить затронутые пароли администратора и VPN.
Дополнительные рекомендации включают внедрение многофакторной аутентификации (MFA), ограничение доступа в Интернет к интерфейсам управления и проверку устройств на наличие признаков несанкционированного доступа.
Также было рекомендовано обновиться до поддерживаемых версий FortiOS и заменить слабые или повторно используемые пароли. «После обновления FortiOS потребуйте от всех администраторов войти в межсетевой экран хотя бы один раз: это автоматически установит шифрование в PBKDF2», — заявили исследователи.
Пароли администратора также можно обновить вручную с помощью учетной записи super_admin, отметили они.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
