FortiBleed: 75.000 Fortinet-enheder kompromitteret i global kampagne
En omfattende cyberkampagne har kompromitteret titusindvis af Fortinet-firewalls og VPN-gateways på globalt plan. Ifølge analyser fra sikkerhedsresearchere omfatter datasættet knap 74.000 firewall-URL’er på tværs af 194 lande og mere end 21.000 unikke domæner. Angrebet vurderes at ramme op mod halvdelen af de interneteksponerede Fortinet-enheder.
Det skriver infostealers.com.
Angriberne har systematisk scannet efter enheder, hvor management-interfacet var tilgængeligt udefra. Gennem eksport af konfigurationsdata og efterfølgende offline brute-force har de haft mulighed for at udtrække og knække legitimationsoplysninger.
Milliarder af loginforsøg og adgang til interne miljøer
Kampagnen er ifølge undersøgelser orkestreret af en russisktalende cyberkriminel gruppering. Den opererer i stor skala med anslået over en milliard credential-forsøg mod FortiGate-enheder samt yderligere milliarder rettet mod MSSQL-servere.
Metoden inkluderer opsamling af SSL VPN-hashes, som knækkes via GPU-klynger. Når adgang er opnået, bevæger angriberne sig videre ind i interne Active Directory-miljøer for at etablere vedvarende kontrol.
Flere konkrete kompromitteringer er bekræftet, herunder fuld netværksadgang hos organisationer i blandt andet Asien og Mellemøsten. I ét tilfælde er klassificerede dokumenter blevet eksfiltreret fra en forsvarsleverandør.
Opdaterede systemer stadig sårbare
Selv nyere, patchede systemer optræder i datasættet. En forklaring er, at ældre hashing-metoder fortsat anvendes, hvis administratorer ikke aktivt har logget ind efter opdatering. Dermed forbliver credentials lagret i mindre modstandsdygtige formater, som kan brute-forces offline.
Datasættets struktur indikerer samtidig, at adgange organiseres og klargøres til videresalg – en kendt praksis i cyberkriminelle økosystemer.
Store virksomheder blandt ofrene
Databasen indeholder adgang til en lang række globale virksomheder og organisationer på tværs af sektorer. Blandt de identificerede navne er store industrikoncerner, teknologivirksomheder og rådgivningshuse samt offentlige institutioner.
Angribernes logs viser systematisk indsamling og validering af credentials, hvilket understreger kampagnens industrielle karakter.
Komplekse passwords giver falsk tryghed
Et centralt fund er, at også lange og komplekse passwords er blevet kompromitteret. Når legitimationsoplysninger først er lækket eller genskabt i klartekst, mister kompleksitetskrav deres effekt.
Dermed kan genbrugte eller tidligere kompromitterede passwords fungere som effektiv adgangsbillet – uanset styrke.
Anbefalede tiltag
Organisationer bør sikre, at management-interfaces ikke er eksponeret mod internettet. Opdatering af FortiOS skal følges af aktiv login for at sikre stærkere hashing.
Derudover anbefales det at rotere credentials, håndhæve multifaktorautentifikation og antage kompromittering ved mistænkelig aktivitet. Overvågning af stjålne credentials i trusselsdata kan bidrage til tidlig detektion.