
CISA предупреждает: логины и пароли более 74 000 устройств Fortinet обнаружены в открытых источниках — будьте бдительны!
Одной из самых опасных тенденций, наблюдаемых в сфере кибербезопасности в последние годы, является не столько использование уязвимостей в программном обеспечении, сколько рост числа случаев проникновения в системы под видом легитимного пользователя с использованием украденных аутентификационных данных. Именно как одна из таких угроз оценивается инцидент FortiBleed, о котором Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) сделало серьезное предупреждение.
По данным экспертов, в результате данной кампании были раскрыты учетные данные десятков тысяч устройств Fortinet, работающих в открытом доступе по всему миру. Данная ситуация представляет непосредственную угрозу безопасности государственных организаций, предприятий частного сектора и критических информационных инфраструктур.
Что такое FortiBleed?
FortiBleed — это инцидент в сфере кибербезопасности, связанный с массовой утечкой учетных записей пользователей и аутентификационных данных, принадлежащих различным продуктам компании Fortinet. В частности, под угрозой оказались данные, связанные с подключенными к интернету межсетевыми экранами (файрволами) FortiGate и SSL VPN-шлюзами.
В результате анализа, проведенного компаниями в сфере киберразведки, в различных источниках были обнаружены учетные данные (credentials), относящиеся примерно к 74 000 устройств Fortinet. Используя эти данные, злоумышленники могут получить доступ к системам под видом легитимных пользователей.
Глобальный масштаб угрозы
Согласно отчетам таких организаций в сфере кибербезопасности, как SOCRadar, Hudson Rock и Arctic Wolf, кампания FortiBleed затронула организации в более чем 190 странах. Наиболее тревожным аспектом является то, что большая часть пострадавших устройств напрямую подключена к сети Интернет, что делает их возможной точкой первоначального проникновения для киберпреступников.
Сегодня многие организации используют SSL VPN-сервисы для обеспечения возможности удаленной работы. Если имена пользователей и пароли к этим системам попадают в руки третьих лиц, обход межсетевых экранов и других защитных механизмов значительно упрощается.
Почему атаки с использованием учетных данных опасны?
При традиционных кибератаках преступники ищут и используют уязвимости в программном обеспечении. При атаках, основанных на использовании учетных данных (credential-based attacks), ситуация иная. Здесь злоумышленники используют уже полученные логины и пароли.
В результате возникают возможности для:
- входа в систему под видом легитимного пользователя;
- повышения привилегий (Privilege Escalation);
- горизонтального перемещения по сети (Lateral Movement);
- хищения конфиденциальных данных;
- развертывания вредоносных программ;
- вывода из строя критических систем.
Поэтому утечка учетных данных часто может привести к более серьезным последствиям, чем программные уязвимости.
Рекомендованные CISA меры защиты
В ответ на угрозу FortiBleed CISA рекомендует всем организациям незамедлительно проверить инфраструктуру Fortinet и принять дополнительные меры защиты.
1. Завершить все активные сессии
Рекомендуется полностью завершить все существующие SSL VPN-сессии и сессии администраторов на устройствах Fortinet. Это позволит прервать сессии, которые могут активно использоваться злоумышленниками.
2. Немедленно сменить пароли
Пароли всех учетных записей пользователей и администраторов, относящихся к устройствам Fortinet, имеющим доступ в Интернет, должны быть немедленно обновлены.
Пароли должны:
- быть сложными;
- состоять как минимум из 12–16 символов;
- содержать буквы, цифры и специальные символы;
- не использоваться повторно в других системах.
3. Использовать алгоритм PBKDF2
CISA рекомендует проверить, защищены ли учетные данные администратора с помощью алгоритма Password-Based Key Derivation Function 2 (PBKDF2).
PBKDF2 является одним из современных механизмов хеширования, обеспечивающим дополнительную защиту от атак перебором (bruteforce) и словарных атак, направленных на взлом паролей.
4. Анализировать журналы (логи)
Организациям необходимо тщательно проверить записи журналов из следующих источников:
- журналы межсетевых экранов (файрволов);
- журналы VPN-подключений;
- журналы аутентификации;
- журналы Active Directory и доменных контроллеров;
- записи об активности администраторов.
Следующие признаки могут указывать на компрометацию:
- входы с неизвестных IP-адресов;
- аутентификации вне рабочего времени;
- создание новых учетных записей;
- изменение прав администратора;
- неожиданные изменения в конфигурационных файлах.
5. Внедрить многофакторную аутентификацию
Одним из наиболее эффективных способов снижения угрозы является использование технологии многофакторной аутентификации (Multi-Factor Authentication – MFA).
Даже в случае раскрытия логина и пароля, дополнительный этап аутентификации помешает злоумышленнику получить доступ к системе.
6. Изолировать управляющие интерфейсы от Интернета
Рекомендуется не оставлять панель администратора и управляющие интерфейсы устройств Fortinet в открытом доступе через глобальную сеть Интернет.
Доступ к управляющим интерфейсам должен осуществляться:
- только через внутреннюю сеть;
- через VPN;
- с ограничением по списку доверенных IP-адресов.
Важный урок для организаций
Инцидент FortiBleed еще раз продемонстрировал, что в современной кибербезопасности основной риск теперь заключается не только в программных уязвимостях. Многие успешные атаки совершаются именно с использованием неправильно управляемых аутентификационных данных, слабых паролей или ранее скомпрометированных учетных записей.
Поэтому организациям следует уделить особое внимание следующим направлениям:
- регулярное обновление учетных данных;
- внедрение технологии MFA;
- минимизация сервисов, открытых в Интернет;
- постоянный мониторинг журналов безопасности;
- повышение осведомленности сотрудников в области кибербезопасности;
- использование данных о киберугрозах (Threat Intelligence).
Кампания FortiBleed служит серьезным предупреждением для тысяч организаций. Данный инцидент показал, что киберпреступники все чаще полагаются на украденные учетные данные, и что одних лишь средств периметровой защиты недостаточно для обеспечения безопасности.
Организациям, использующим устройства Fortinet, необходимо незамедлительно проверить свою инфраструктуру, обновить все учетные данные, внедрить многофакторную аутентификацию и усилить сетевой мониторинг для выявления подозрительной активности. В противном случае даже простая утечка учетных данных может привести к крупной потере данных, отказу в обслуживании или компрометации всей корпоративной сети.



