CISA предупреждает: логины и пароли более 74 000 устройств Fortinet обнаружены в открытых источниках — будьте бдительны!

Одной из самых опасных тенденций, наблюдаемых в сфере кибербезопасности в последние годы, является не столько использование уязвимостей в программном обеспечении, сколько рост числа случаев проникновения в системы под видом легитимного пользователя с использованием украденных аутентификационных данных. Именно как одна из таких угроз оценивается инцидент FortiBleed, о котором Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) сделало серьезное предупреждение.

По данным экспертов, в результате данной кампании были раскрыты учетные данные десятков тысяч устройств Fortinet, работающих в открытом доступе по всему миру. Данная ситуация представляет непосредственную угрозу безопасности государственных организаций, предприятий частного сектора и критических информационных инфраструктур.

Что такое FortiBleed?

FortiBleed — это инцидент в сфере кибербезопасности, связанный с массовой утечкой учетных записей пользователей и аутентификационных данных, принадлежащих различным продуктам компании Fortinet. В частности, под угрозой оказались данные, связанные с подключенными к интернету межсетевыми экранами (файрволами) FortiGate и SSL VPN-шлюзами.

В результате анализа, проведенного компаниями в сфере киберразведки, в различных источниках были обнаружены учетные данные (credentials), относящиеся примерно к 74 000 устройств Fortinet. Используя эти данные, злоумышленники могут получить доступ к системам под видом легитимных пользователей.

Глобальный масштаб угрозы

Согласно отчетам таких организаций в сфере кибербезопасности, как SOCRadar, Hudson Rock и Arctic Wolf, кампания FortiBleed затронула организации в более чем 190 странах. Наиболее тревожным аспектом является то, что большая часть пострадавших устройств напрямую подключена к сети Интернет, что делает их возможной точкой первоначального проникновения для киберпреступников.

Сегодня многие организации используют SSL VPN-сервисы для обеспечения возможности удаленной работы. Если имена пользователей и пароли к этим системам попадают в руки третьих лиц, обход межсетевых экранов и других защитных механизмов значительно упрощается.

Почему атаки с использованием учетных данных опасны?

При традиционных кибератаках преступники ищут и используют уязвимости в программном обеспечении. При атаках, основанных на использовании учетных данных (credential-based attacks), ситуация иная. Здесь злоумышленники используют уже полученные логины и пароли.

В результате возникают возможности для:

  • входа в систему под видом легитимного пользователя;
  • повышения привилегий (Privilege Escalation);
  • горизонтального перемещения по сети (Lateral Movement);
  • хищения конфиденциальных данных;
  • развертывания вредоносных программ;
  • вывода из строя критических систем.

Поэтому утечка учетных данных часто может привести к более серьезным последствиям, чем программные уязвимости.

Рекомендованные CISA меры защиты

В ответ на угрозу FortiBleed CISA рекомендует всем организациям незамедлительно проверить инфраструктуру Fortinet и принять дополнительные меры защиты.

1. Завершить все активные сессии

Рекомендуется полностью завершить все существующие SSL VPN-сессии и сессии администраторов на устройствах Fortinet. Это позволит прервать сессии, которые могут активно использоваться злоумышленниками.

2. Немедленно сменить пароли

Пароли всех учетных записей пользователей и администраторов, относящихся к устройствам Fortinet, имеющим доступ в Интернет, должны быть немедленно обновлены.

Пароли должны:

  • быть сложными;
  • состоять как минимум из 12–16 символов;
  • содержать буквы, цифры и специальные символы;
  • не использоваться повторно в других системах.

3. Использовать алгоритм PBKDF2

CISA рекомендует проверить, защищены ли учетные данные администратора с помощью алгоритма Password-Based Key Derivation Function 2 (PBKDF2).

PBKDF2 является одним из современных механизмов хеширования, обеспечивающим дополнительную защиту от атак перебором (bruteforce) и словарных атак, направленных на взлом паролей.

4. Анализировать журналы (логи)

Организациям необходимо тщательно проверить записи журналов из следующих источников:

  • журналы межсетевых экранов (файрволов);
  • журналы VPN-подключений;
  • журналы аутентификации;
  • журналы Active Directory и доменных контроллеров;
  • записи об активности администраторов.

Следующие признаки могут указывать на компрометацию:

  • входы с неизвестных IP-адресов;
  • аутентификации вне рабочего времени;
  • создание новых учетных записей;
  • изменение прав администратора;
  • неожиданные изменения в конфигурационных файлах.

5. Внедрить многофакторную аутентификацию

Одним из наиболее эффективных способов снижения угрозы является использование технологии многофакторной аутентификации (Multi-Factor Authentication – MFA).

Даже в случае раскрытия логина и пароля, дополнительный этап аутентификации помешает злоумышленнику получить доступ к системе.

6. Изолировать управляющие интерфейсы от Интернета

Рекомендуется не оставлять панель администратора и управляющие интерфейсы устройств Fortinet в открытом доступе через глобальную сеть Интернет.

Доступ к управляющим интерфейсам должен осуществляться:

  • только через внутреннюю сеть;
  • через VPN;
  • с ограничением по списку доверенных IP-адресов.

Важный урок для организаций

Инцидент FortiBleed еще раз продемонстрировал, что в современной кибербезопасности основной риск теперь заключается не только в программных уязвимостях. Многие успешные атаки совершаются именно с использованием неправильно управляемых аутентификационных данных, слабых паролей или ранее скомпрометированных учетных записей.

Поэтому организациям следует уделить особое внимание следующим направлениям:

  • регулярное обновление учетных данных;
  • внедрение технологии MFA;
  • минимизация сервисов, открытых в Интернет;
  • постоянный мониторинг журналов безопасности;
  • повышение осведомленности сотрудников в области кибербезопасности;
  • использование данных о киберугрозах (Threat Intelligence).

Кампания FortiBleed служит серьезным предупреждением для тысяч организаций. Данный инцидент показал, что киберпреступники все чаще полагаются на украденные учетные данные, и что одних лишь средств периметровой защиты недостаточно для обеспечения безопасности.

Организациям, использующим устройства Fortinet, необходимо незамедлительно проверить свою инфраструктуру, обновить все учетные данные, внедрить многофакторную аутентификацию и усилить сетевой мониторинг для выявления подозрительной активности. В противном случае даже простая утечка учетных данных может привести к крупной потере данных, отказу в обслуживании или компрометации всей корпоративной сети.