Хакери са получили достъп до защитните стени на компании в 194 държави

Специалисти по киберсигурност съобщиха за мащабната кампания „FortiBleed“, в рамките на която киберпрестъпниците са получили достъп до десетки хиляди мрежови защитни стени Fortinet и шлюзове за виртуални частни мрежи FortiGate.

Атаката не прилича на проникване чрез нова, неизвестна уязвимост. Схемата е по-проста и по-опасна: злоумишлениците търсят устройства на Fortinet, достъпни в интернет, а след това пробват пароли, които са изтекли по-рано или са били подбрани. След влизане в системата компрометираният шлюз започва да подслушва трафика. Чрез него се събират нови идентификационни данни и се използват актуални пароли за по-нататъшни атаки.

Hudson Rock твърди, че е открила признаци за компрометиране на 73 932 уникални адреса на мрежови шлюзове в 194 държави. SOCRadar оценява броя на засегнатите устройства на над 30 000. В откритите данни фигурират 21 632 домейна, а сред потенциално засегнатите организации се споменават Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens, PwC, държавни структури и оператори на критична инфраструктура. Специалистите са разработили безплатен инструмент за проверка дали уязвимостта FortiBleed е засегнала конкретна организация.

Според данните на Hudson Rock, най-голям брой засегнати устройства има в Индия, САЩ, Тайван, Мексико, Турция, Тайланд, Колумбия, Малайзия, Чили и ОАЕ. Сред секторите най-често се срещат телекомуникациите, информационните услуги, финансовият сектор, държавните организации, медицината, образованието и промишлеността.

Първият, който съобщи за изтичането на данни беше специалистът по сигурност Боб Дяченко. Той откри отворен сървър с база данни, в която се съхраняваха потребителски имена, имейл адреси и пароли в открит вид. Според неговите данни злоумишлениците са могли да направят около 1,16 млрд. опита за вход към 320 777 FortiGate устройства и още 2,1 млрд. опита срещу 163 650 сървъра Microsoft SQL Server. В базата има около 75 000 устройства на Fortinet и почти всички те все още са достъпни в интернет. Част от информацията може да е била взета от експортирани настройки на Fortinet, тъй като в масива има данни, които обикновено се намират именно в конфигурационните файлове. Точният начин на получаване на изходната база все още не е известен.

Fortinet заяви, че е наясно с кампанията и според нея публикуваният набор от данни е свързан с факта, че злоумишлениците са публикували повторно данни от стари инциденти и са пробвали различни пароли, а не с нова уязвимост, скорошен пробив или актуален бюлетин за сигурност. Специалистите съветват компаниите незабавно да сменят паролите за административните интерфейси и виртуалните частни мрежи на Fortinet, да активират многофакторна автентификация, да проверят логовете на шлюзовете за подозрителна активност и отделно да проследят дали данните за достъп на служителите не фигурират в други изтичания на информация.