FortiBleed šokira: procurile lozinke za tisuće Fortinet uređaja, a napadači su razbijali zaštitu milijardama pokušaja. Hrvatska nije izvan opasnosti
GLOBALNA PRIJETNJA
KATASTROFA: Deseci tisuća lozinki za VPN procurile online, i hrvatske tvrtke su na udaru?
Čitanje članka:
2
min
Baza podataka koja sadrži desetke tisuća pristupnih podataka za velike globalne korporacije pronađena je na internetu, što predstavlja jedan od većih incidenata curenja podataka ove godine. Kampanja, koju je sigurnosni istraživač Bob Diachenko nazvao "FortiBleed", otkrila je lozinke za Fortinet i FortiGate VPN-ove, ugrozivši brojne tvrtke i organizacije diljem svijeta, a zbog raširenosti ovih sustava, postoji opravdana bojazan da su pogođeni i korisnici u Hrvatskoj.
Istraživač otkrio arhivu s desecima tisuća podataka
Sigurnosni istraživač Bob Diachenko objavio je na LinkedInu da je otkrio arhivu koja sadrži 73.932 URL-a za Fortinet i FortiGate vatrozide. Prema novom izvješću, radi se o podacima prikupljenim kroz kampanje "brute-force" napada i iskorištavanja postojećih ranjivosti.
"Masovna kampanja 'brute-force' napada i aktivnog iskorištavanja Fortinet/FortiGate sustava otkrivena na djelu", napisao je Diachenko.
Arhiva je sadržavala korisnička imena, adrese e-pošte i lozinke u čistom tekstu za tvrtke poput Chevrona, Samsunga, Foxconna, Comcasta, AT&T-a, Mercedes-Benza, Toyote, Sinopeca i State Grida. U dokumentima se nalaze tisuće instanci vodećih svjetskih dobavljača. Jedna od datoteka sadržavala je 21.634 naziva domena, od Chevrona do samog Fortineta, a sve s potencijalno ispravnim lozinkama za FortiGate uređaje.
Napadači s ruskog govornog područja
Diachenko je za BleepingComputer izjavio kako je arhivu stvorio akter s ruskog govornog područja koji je sustavno prikupljao vjerodajnice za FortiGate SSL VPN sustave. Analiza baze podataka pokazala je da su napadači koristili metodu "brute-force", izvršivši više od 1,1 milijardi pokušaja prijave na više od 320.000 FortiGate sustava, kao i 2,1 milijardi pokušaja na više od 160.600 Microsoft SQL Server sustava. Dodatni izvori navode da su napadači za razbijanje hashiranih lozinki koristili klaster od 45 GPU-a.
Osim toga, napadači su se domogli SSL VPN autentifikacijskih hashova, koje su kasnije razbili i koristili za prijavu u Active Directory okruženja.
Potpuno kompromitirane organizacije i odgovor Fortineta
Više organizacija diljem svijeta bilo je "potpuno kompromitirano", istaknuo je Diachenko, naglasivši da je među njima i turski obrambeni dobavljač koji surađuje s NATO-om. Navodno je ta organizacija zbog ovog sigurnosnog propusta izgubila povjerljive dokumente. Autentičnost curenja podataka potvrdilo je više sigurnosnih tvrtki, uključujući Hudson Rock i sigurnosnog istraživača Kevina Beaumonta.
Fortinet je u svojoj izjavi poručio da se ne radi o novom sigurnosnom propustu, već o zbirci podataka ukradenih u prethodnim incidentima.
"Na temelju naše analize, objavljeni podaci predstavljaju ponovno dijeljenje podataka iz prethodnih incidenata, kao i vjerodajnica dobivenih 'brute-force' napadima, te nisu povezani s bilo kakvim nedavnim incidentom ili sigurnosnim savjetom. Organizacije koje slijede rutinske najbolje prakse, uključujući redovito mijenjanje sigurnosnih vjerodajnica, suočene su s minimalnim rizikom", priopćio je Fortinet. Ipak, tvrtka je preporučila promjenu svih Fortinet VPN lozinki i postavljanje višefaktorske autentifikacije (MFA) gdje god je to moguće.
Nije nova ranjivost, već stari propusti
Stručnjaci se slažu da napad vjerojatno nije rezultat nove, takozvane "zero-day" ranjivosti. Umjesto toga, čini se da su napadači iskoristili kombinaciju starijih, nezakrpanih ranjivosti i slabih praksi upravljanja lozinkama. Jedan od temeljnih problema koji je iskorišten jest način na koji FortiOS, operativni sustav Fortinetovih uređaja, upravlja lozinkama prilikom nadogradnje. Naime, lozinke ostaju pohranjene u starijem, slabijem SHA-256 formatu sve dok se administrator ne prijavi nakon nadogradnje, što napadačima olakšava posao razbijanja lozinki. Razmjeri napada su alarmantni; procjenjuje se da je pogođeno oko 50 posto svih internetski dostupnih FortiGate uređaja.
*uz korištenje AI-ja
Sve što je bitno, na dohvat ruke
Skini aplikaciju za najbolje iskustvo portala. Čitaj, komentiraj i budi uvijek u toku s najnovijim vijestima.
Odaberi temu koju želiš pratiti
Primaj sve nove vijesti o temi i budi u tijeku
