Sigurnosni istraživači otkrili su jednu od najvećih kompromitacija Fortinet-ovih pristupnih podataka do sada.
Incident nazvan FortiBleed uključuje gotovo 74.000 FortiGate firewall i VPN uređaja, a među pogođenim organizacijama nalaze se neke od najvećih svjetskih kompanija.
Što je FortiBleed?
Sigurnosna zajednica posljednjih dana intenzivno raspravlja o incidentu nazvanom FortiBleed, nakon što je istraživač Bob Diachenko otkrio bazu podataka koja sadrži pristupne podatke za 73.932 Fortinet i FortiGate uređaja diljem svijeta.
Prema dostupnim informacijama, baza uključuje URL-ove firewall uređaja, korisnička imena, e-mail adrese te u mnogim slučajevima i lozinke u otvorenom tekstu.
Među organizacijama čiji su podaci navodno pronađeni u bazi spominju se velika globalna imena poput Toyote, Samsunga, Foxconna, AT&T-a, Mercedesa, Chevrona i brojnih drugih multinacionalnih kompanija.
Iako sama prisutnost u bazi ne znači automatski kompromitaciju sustava, činjenica da su vjerodajnice dostupne predstavlja ozbiljan sigurnosni rizik.
Veliki sigurnosni incident
Prema analizi tvrtke Hudson Rock i drugim neovisnim istraživačima, kompromitirani podaci obuhvaćaju organizacije iz čak 194 države, a baza sadrži više od 21.600 jedinstvenih domena.
Incident mogao obuhvatiti gotovo polovicu svih uređaja Fortinet-a koji su izloženi internetu.
Sigurnosni istraživač Kevin Beaumont dodatno je potvrdio vjerodostojnost dijela podataka te izjavio da je uspio potvrditi autentičnost određenih administratorskih računa i lozinki.
Ne radi o teorijskoj prijetnji nego o potencijalno aktivnim vjerodajnicama koje se mogu iskoristiti za pristup mrežama organizacija.
Kako su napadači došli do podataka?
Na to pitanje trenutno ne postoji konačan odgovor.
Moguće da se radi o kombinaciji različitih metoda prikupljanja podataka.
Analiza upućuje na masovne brute-force kampanje, krađu vjerodajnica iz prethodnih incidenata te prikupljanje konfiguracijskih datoteka s kompromitiranih uređaja.
Diachenko navodi da su napadači izveli više od 1,1 milijardu pokušaja prijave protiv više od 320.000 FortiGate VPN sustava te dodatnih 2,1 milijardu pokušaja protiv Microsoftovog SQL Server okruženja.
Takva razina aktivnosti ukazuje na vrlo organiziranu operaciju koja je trajala duže vrijeme i koristila značajne resurse.
Dodatnu zabrinutost izaziva činjenica da su napadači navodno koristili i napredne metode razbijanja hashiranih lozinki kako bi iz VPN vjerodajnica došli do lozinki u čitljivom obliku.
Hudson Rock tvrdi da su za taj proces korišteni specijalizirani GPU klasteri namijenjeni upravo razbijanju lozinki.
Fortinet: ne radi se o novoj ranjivosti
Fortinet je brzo reagirao na objavu incidenta te naglasio kako prema njihovoj trenutnoj procjeni ne postoji nova sigurnosna ranjivost koja bi uzrokovala FortiBleed.
Tvrtka tvrdi da se radi o kombinaciji prethodno ukradenih podataka i uspješnih brute-force napada protiv organizacija koje nisu primjenjivale osnovne sigurnosne preporuke poput redovite promjene lozinki i višefaktorske autentikacije (MFA).
Drugim riječima, Fortinet smatra da FortiBleed nije novi CVE niti nova ranjivost u FortiOS-u, nego rezultat dugotrajnog prikupljanja vjerodajnica iz različitih izvora.
Ipak, ta saznanja ne umanjuju ozbiljnost incidenta.
Za organizaciju čiji se administratorski podaci nalaze u kompromitiranoj bazi potpuno je svejedno jesu li podaci ukradeni jučer ili prije godinu dana. Ako su vjerodajnice i dalje aktivne, napadači ih mogu iskoristiti za pristup sustavu.
FortiGate su često napadnuti
FortiGate uređaji nalaze se na samom rubu mreže i predstavljaju jednu od najvažnijih sigurnosnih komponenti organizacijske infrastrukture.
Naime, preko njih zaposlenici pristupaju internim sustavima putem VPN-a, administratori upravljaju mrežnim postavkama, a sigurnosne politike određuju što je dopušteno, a što blokirano unutar organizacije.
Tko kontrolira FortiGate uređaj, potencijalno dobiva pristup velikom dijelu digitalne infrastrukture tvrtke.
Zbog toga su Fortinetovi uređaji već godinama među najprivlačnijim metama kibernetičkih kriminalaca.
Prema podacima američke agencije CISA, više Fortinet ranjivosti posljednjih se godina redovito nalazi na popisima najaktivnije iskorištavanih sigurnosnih propusta na internetu.
Napadač koji uspije kompromitirati administratorski račun ili VPN pristup ne dobiva samo pristup jednom uređaju, nego potencijalno i ulaznu točku za daljnje širenje kroz mrežu, krađu podataka, instalaciju ransomwarea ili preuzimanje kontrole nad drugim sustavima.
Iz tog razloga sigurnosni stručnjaci FortiGate uređaje smatraju infrastrukturom visokog rizika koja zahtijeva redovito ažuriranje, višefaktorsku autentikaciju i kontinuirani nadzor pristupa.
Incident poput FortiBleeda dodatno pokazuje koliko ozbiljne posljedice mogu nastati kada vjerodajnice za ovakve sustave završe u rukama napadača.
Rizik za pogođene tvrtke
Ako su vjerodajnice iz FortiBleed baze i dalje aktivne, posljedice za pogođene tvrtke mogu biti dalekosežne.
Za razliku od klasičnih proboja u kojima napadači prvo moraju pronaći ranjivost i zatim pokušati ostvariti pristup sustavu, ovdje se radi o situaciji u kojoj potencijalno već posjeduju valjane pristupne podatke.
Problem je što se skraćuje vrijeme potrebno za kompromitaciju i povećavaju se šanse da dođe do napada.
Zlonamjerni akteri se tada mogu predstaviti kao legitimni korisnici ili administratori i mjesecima ostati neprimijećeni unutar mreže.
Nakon inicijalnog pristupa slijedi prikupljanje dodatnih vjerodajnica, istraživanje infrastrukture i identifikacija kritičnih sustava poput poslužitelja datoteka, sigurnosnih kopija, ERP sustava ili okruženja Microsoft 365.
U brojnim poznatim incidentima upravo je kompromitirani VPN pristup bio početna točka za kasnije ransomware napade koji su zaustavili proizvodnju, blokirali poslovne procese ili doveli do krađe osjetljivih podataka.
Posebno zabrinjava činjenica da se među potencijalno pogođenim organizacijama nalaze tvrtke iz sektora proizvodnje, telekomunikacija, energetike i obrane.
U takvim okruženjima uspješna kompromitacija ne predstavlja samo financijski problem nego može dovesti do krađe poslovnih tajni, tehničke dokumentacije, podataka o klijentima ili informacija važnih za nacionalnu sigurnost.
Iz tog razloga sigurnosni stručnjaci upozoravaju da FortiBleed treba promatrati kao incident visokog rizika čak i ako se kasnije pokaže da je samo manji dio vjerodajnica bio aktivan u trenutku otkrivanja baze.
Najveći problem nije sama krađa podataka nego činjenica da napadači potencijalno dobivaju legitimni ključ za ulazak u organizacijsku mrežu.
Preporuke za sigurnost
Prvi korak je pretpostaviti da su vjerodajnice kompromitirane dok se ne dokaže suprotno.
Tvrtkama preporučujemo:
- hitna promjena svih administratorskih lozinki
- promjena VPN vjerodajnica korisnika
- obvezno uključivanje MFA autentifikacije
- pregled logova za sumnjive prijave
- provjera konfiguracije uređaja
- uklanjanje nepoznatih korisničkih računa
- ažuriranje sustava FortiOS na najnoviju verziju
- revizija svih internetom dostupnih administratorskih sučelja
Stručnjaci dodatno upozoravaju da promjena lozinke možda neće biti dovoljna ako je napadač već ostvario pristup sustavu i uspostavio trajne mehanizme za povratak u mrežu.
U takvim slučajevima potrebno je provesti detaljnu forenzičku analizu kompromitiranih uređaja.
Identitet je nova sigurnosna granica
FortiBleed još jednom pokazuje da u modernim kibernetičkim napadima kompromitirane vjerodajnice imaju veću vrijednost od samih ranjivosti.
Napadač koji raspolaže valjanim korisničkim računom i lozinkom može zaobići velik dio sigurnosnih kontrola, predstavljati se kao legitimni korisnik i neprimjetno djelovati unutar mreže.
Eto, naveli smo razlog zašto se sigurnost više ne može promatrati isključivo kroz zakrpe i zaštitu uređaja, nego sve više kroz upravljanje identitetima i pristupima.
Incident dodatno potvrđuje važnost višefaktorske autentikacije, kontinuiranog praćenja kompromitiranih vjerodajnica i stroge kontrole privilegiranih računa.
Iako FortiBleed nije povezan s novom Fortinet ranjivošću niti novim CVE zapisom, otkrivena baza s podacima za gotovo 74.000 uređaja pokazuje koliko brzo kompromitirane vjerodajnice mogu postati globalni sigurnosni problem.
Ako koristite FortiGate uređaje, promijenite pristup, aktivirajte zaštitne mehanizme. Navedeno je apsolutni prioritet. U današnjem okruženju identitet korisnika itekako može biti najvažnija linija obrane.
