CISA ogohlantirmoqda: 74 mingdan ortiq Fortinet qurilmasiga tegishli login va parollar turli manbalarda aniqlanmoqda ogoh bo’ling!

Kiberxavfsizlik sohasida so‘nggi yillarda kuzatilayotgan eng xavfli tendensiyalardan biri dasturiy ta’minotdagi zaifliklardan foydalanish emas, balki o‘g‘irlangan autentifikatsiya ma’lumotlari yordamida tizimlarga qonuniy foydalanuvchi sifatida kirib borish holatlarining ortib borayotganidir. Aynan shunday tahdidlardan biri sifatida baholanayotgan FortiBleed hodisasi AQSHning Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) tomonidan jiddiy ogohlantirish bilan e’lon qilindi.

Mutaxassislarning ma’lum qilishicha, ushbu kampaniya natijasida dunyo bo‘ylab internetga ochiq holda ishlayotgan o‘n minglab Fortinet qurilmalariga tegishli hisob ma’lumotlari oshkor bo‘lgan. Mazkur holat davlat tashkilotlari, xususiy sektor korxonalari hamda muhim axborot infratuzilmalarining xavfsizligiga bevosita tahdid tug‘dirmoqda.

FortiBleed nima?

FortiBleed — bu Fortinet kompaniyasining turli mahsulotlariga tegishli foydalanuvchi hisoblari va autentifikatsiya ma’lumotlarining ommaviy ravishda sizib chiqishi bilan bog‘liq kiberxavfsizlik hodisasi hisoblanadi. Xususan, internetga ulangan FortiGate xavfsizlik devorlari (firewall) hamda SSL VPN shlyuzlari bilan bog‘liq ma’lumotlar xavf ostida qolgan.

Kiberrazvedka kompaniyalari tomonidan o‘tkazilgan tahlillar natijasida taxminan 74 mingga yaqin Fortinet qurilmasiga tegishli credential ma’lumotlari turli manbalarda aniqlangan. Ushbu ma’lumotlardan foydalanish orqali tahdid ishtirokchilari tizimlarga qonuniy foydalanuvchi sifatida kirish imkoniyatiga ega bo‘lishlari mumkin.

Tahdidning global ko‘lami

SOCRadar, Hudson Rock va Arctic Wolf kabi kiberxavfsizlik tashkilotlarining hisobotlariga ko‘ra, FortiBleed kampaniyasi 190 dan ortiq mamlakatdagi tashkilotlarga ta’sir ko‘rsatgan. Eng xavotirli jihati shundaki, zarar ko‘rgan qurilmalarning katta qismi bevosita internet tarmog‘iga ulangan bo‘lib, ular kiberjinoyatchilar uchun dastlabki kirish nuqtasi vazifasini bajarishi mumkin.

Bugungi kunda ko‘plab tashkilotlar masofadan ishlash imkoniyatlarini ta’minlash maqsadida SSL VPN xizmatlaridan foydalanadi. Agar ushbu tizimlarga tegishli foydalanuvchi nomlari va parollar uchinchi shaxslar qo‘liga tushib qolsa, himoya devorlari va boshqa xavfsizlik mexanizmlarini chetlab o‘tish ancha osonlashadi.

Credential hujumlari nega xavfli?

An’anaviy kiberhujumlarda jinoyatchilar dasturiy zaifliklarni qidiradi va ulardan foydalanadi. Credential asosidagi hujumlarda esa vaziyat boshqacha bo‘ladi. Bu yerda tajovuzkorlar allaqachon qo‘lga kiritilgan login va parollardan foydalanadi.

Natijada:

  • tizimga qonuniy foydalanuvchi sifatida kirish;
  • imtiyozlarni oshirish (Privilege Escalation);
  • tarmoq bo‘ylab gorizontal harakatlanish (Lateral Movement);
  • maxfiy ma’lumotlarni o‘g‘irlash;
  • zararli dasturlarni joylashtirish;
  • muhim tizimlarni ishdan chiqarish kabi harakatlarni amalga oshirish imkoniyati yuzaga keladi.

Shu sababli credential sizib chiqishi ko‘pincha dasturiy zaifliklardan ham xavfliroq oqibatlarga olib kelishi mumkin.

CISA tomonidan tavsiya etilgan himoya choralari

FortiBleed tahdidiga javoban CISA barcha tashkilotlarga Fortinet infratuzilmasini zudlik bilan tekshirish va qo‘shimcha himoya choralarini ko‘rishni tavsiya qilmoqda.

1. Barcha faol sessiyalarni yakunlash

Fortinet qurilmalarida mavjud SSL VPN va administrator sessiyalarini to‘liq tugatish tavsiya etiladi. Bu tajovuzkorlar tomonidan faol foydalanilayotgan sessiyalarni bekor qilish imkonini beradi.

2. Parollarni darhol almashtirish

Internetga ochiq bo‘lgan barcha Fortinet qurilmalariga tegishli foydalanuvchi va administrator hisoblarining parollari zudlik bilan yangilanishi lozim.

Parollar:

  • murakkab bo‘lishi;
  • kamida 12–16 ta belgidan iborat bo‘lishi;
  • harf, raqam va maxsus belgilarni o‘z ichiga olishi;
  • boshqa tizimlarda qayta ishlatilmasligi kerak.

3. PBKDF2 algoritmidan foydalanish

CISA administrator credential ma’lumotlari Password-Based Key Derivation Function 2 (PBKDF2) algoritmi yordamida himoyalanganligini tekshirishni tavsiya qilmoqda.

PBKDF2 zamonaviy xeshlash mexanizmlaridan biri bo‘lib, parollarni buzishga qaratilgan bruteforce va lug‘at hujumlariga qarshi qo‘shimcha himoya ta’minlaydi.

4. Jurnallarni (loglarni) tahlil qilish

Tashkilotlar quyidagi manbalardagi jurnal yozuvlarini sinchkovlik bilan tekshirishi zarur:

  • Firewall loglari;
  • VPN kirish jurnallari;
  • Autentifikatsiya loglari;
  • Active Directory va domen kontrollerlari jurnallari;
  • Administrator faoliyati haqidagi yozuvlar.

Quyidagi holatlar komprometatsiya alomati bo‘lishi mumkin:

  • noma’lum IP-manzillardan kirishlar;
  • ish vaqtidan tashqaridagi autentifikatsiyalar;
  • yangi hisoblarning yaratilishi;
  • administrator huquqlarining o‘zgartirilishi;
  • konfiguratsiya fayllaridagi kutilmagan o‘zgarishlar.

5. Ko‘p faktorli autentifikatsiyani joriy etish

Tahdidni kamaytirishning eng samarali usullaridan biri — Multi-Factor Authentication (MFA) texnologiyasidan foydalanishdir.

Agar login va parol oshkor bo‘lgan taqdirda ham, qo‘shimcha autentifikatsiya bosqichi tajovuzkorning tizimga kirishiga to‘sqinlik qiladi.

6. Boshqaruv interfeyslarini internetdan ajratish

Fortinet qurilmalarining administrator paneli va boshqaruv interfeyslarini umumiy internet tarmog‘iga ochiq holda qoldirmaslik tavsiya etiladi.

Boshqaruv interfeyslariga kirish:

  • faqat ichki tarmoq orqali;
  • VPN orqali;
  • ishonchli IP-manzillar ro‘yxati asosida cheklangan holda amalga oshirilishi kerak.

Tashkilotlar uchun muhim saboq

FortiBleed hodisasi zamonaviy kiberxavfsizlikda asosiy xavf endilikda faqat dasturiy zaifliklar emasligini yana bir bor ko‘rsatdi. Ko‘plab muvaffaqiyatli hujumlar aynan noto‘g‘ri boshqarilgan autentifikatsiya ma’lumotlari, kuchsiz parollar yoki ilgari sizib chiqqan credentiallardan foydalanish orqali amalga oshirilmoqda.

Shu sababli tashkilotlar quyidagi yo‘nalishlarga alohida e’tibor qaratishlari lozim:

  • credentiallarni muntazam yangilash;
  • MFA texnologiyasini joriy etish;
  • internetga ochiq xizmatlarni minimallashtirish;
  • xavfsizlik jurnallarini doimiy monitoring qilish;
  • xodimlarning kiberxavfsizlik bo‘yicha xabardorligini oshirish;
  • tahdid razvedkasi (Threat Intelligence) ma’lumotlaridan foydalanish.

FortiBleed kampaniyasi minglab tashkilotlar uchun jiddiy ogohlantirish vazifasini o‘tamoqda. Ushbu hodisa kiberjinoyatchilar tobora ko‘proq o‘g‘irlangan credential ma’lumotlariga tayanayotganini va perimetr xavfsizligi vositalarining o‘zi yetarli himoya ta’minlay olmasligini ko‘rsatdi.

Fortinet qurilmalaridan foydalanayotgan tashkilotlar infratuzilmalarini zudlik bilan tekshirishi, barcha hisob ma’lumotlarini yangilashi, ko‘p faktorli autentifikatsiyani joriy etishi hamda shubhali faoliyatlarni aniqlash uchun tarmoq monitoringini kuchaytirishi zarur. Aks holda, oddiy credential sizib chiqishi yirik ma’lumotlar yo‘qotilishi, xizmatlarning ishdan chiqishi yoki butun korporativ tarmoqning komprometatsiyasiga olib kelishi mumkin.