Владельцам межсетевых экранов Fortinet стоит немедленно сменить пароли. Злоумышленники получили доступ к почти 75 тыс. устройств и украли данные для авторизации, принадлежащие ключевым корпорация из 194 стран, в некоторых случаях корпоративные сети были скомпрометированы, сообщает The Register.
Эксперты в сфере кибербезопаности проверили достоверность данных и утверждают, что пароли к оборудованию FortiGate относятся к аккаунтам, принадлежащим транснациональным корпорациям, включая FoxConn, Samsung, Comcast, Siemens, Lenovo, FedEx, PxW, Accenture, Oracle и др. Организациям рекомендуется проверить, не попали ли их домены в список пострадавших от атаки, и немедленно сменить пароли, связанные с системами Fortinet VPN и интерфейсами управления. Кроме того, необходимо убедиться в том, что включена многофакторная аутентификация, поскольку подобная утечка может дать доступ не только к межсетевому экрану, но и корпоративной сети в целом.
По данным Hudson Rock, всего утечка затронула 21 632 уникальных домена. Компания заявляет, что утечка затрагивает буквально все сферы мировой экономики, а злоумышленники сформировали базу актуальных учётных данных для ряда крупнейших компаний мира. По оценкам Shodan, украденные данные относятся приблизительно к половине всех межсетевых экранов Fortinet, доступных в Сети. Более того, большинство из них до сих пор онлайн, поэтому потенциальным пострадавшим лучше сменить пароли немедленно.
Источник изображения: Moritz Kindler/unspalsh.com
По словам исследователя Volodymyr «Bob» Diachenko, первым обнаружившим следы атак, они предположительно связаны с некой «русскоязычной» группировкой. Он заявил, что атаковавшие перехватывают аутентификацию SSL VPN, взламывают хеши с помощью кластера из 45 ускорителей посредством Hashtopolis, а затем получают доступ к внутренним окружениям Active Directory. При этом в ходе операции было сделано 1,16 млрд попыток подбора учётных данных в отношении 320 777 устройств FortiGate и ещё 2,1 млрд попыток против 163 650 серверов Microsoft SQL Server.
Кроме того, по словам эксперта, злоумышленникам удалось полностью скомпрометировать не менее четырёх информационных систем организаций, включая турецкого оборонного подрядчика НАТО, причём были похищены секретные оборонные документы. По словам другого эксперта — Кевина Бомона (Kevin Beaumont), также проверившего украденные данные, они действительно «подлинные», а логины и пароли настоящие, причём оборудование многих из пострадавших компаний использует довольно свежие обновления безопасности.
Сама Fortinet заявила, что появившиеся в «даркенете» данные относятся к более ранним инцидентам и атакам с перебором паролей. В компании уверены, что организации, соблюдающие стандартные протоколы безопасности, в т.ч. регулярную смену учётных данных, подвержены минимальному риску компрометации. Журналисты связались с пострадавшими от атаки, получившей название FortiBleed, из которых откликнулась только Lenovo, заявившая, что проводит расследование.
Источник:
