Владельцам межсетевых экранов Fortinet стоит немедленно сменить пароли. Злоумышленники получили доступ к почти 75 тыс. устройств и украли данные для авторизации, принадлежащие ключевым корпорация из 194 стран, в некоторых случаях корпоративные сети были скомпрометированы, сообщает The Register.

Эксперты в сфере кибербезопаности проверили достоверность данных и утверждают, что пароли к оборудованию FortiGate относятся к аккаунтам, принадлежащим транснациональным корпорациям, включая FoxConn, Samsung, Comcast, Siemens, Lenovo, FedEx, PxW, Accenture, Oracle и др. Организациям рекомендуется проверить, не попали ли их домены в список пострадавших от атаки, и немедленно сменить пароли, связанные с системами Fortinet VPN и интерфейсами управления. Кроме того, необходимо убедиться в том, что включена многофакторная аутентификация, поскольку подобная утечка может дать доступ не только к межсетевому экрану, но и корпоративной сети в целом.

По данным Hudson Rock, всего утечка затронула 21 632 уникальных домена. Компания заявляет, что утечка затрагивает буквально все сферы мировой экономики, а злоумышленники сформировали базу актуальных учётных данных для ряда крупнейших компаний мира. По оценкам Shodan, украденные данные относятся приблизительно к половине всех межсетевых экранов Fortinet, доступных в Сети. Более того, большинство из них до сих пор онлайн, поэтому потенциальным пострадавшим лучше сменить пароли немедленно.

Источник изображения: Moritz Kindler/unspalsh.com

По словам исследователя Volodymyr «Bob» Diachenko, первым обнаружившим следы атак, они предположительно связаны с некой «русскоязычной» группировкой. Он заявил, что атаковавшие перехватывают аутентификацию SSL VPN, взламывают хеши с помощью кластера из 45 ускорителей посредством Hashtopolis, а затем получают доступ к внутренним окружениям Active Directory. При этом в ходе операции было сделано 1,16 млрд попыток подбора учётных данных в отношении 320 777 устройств FortiGate и ещё 2,1 млрд попыток против 163 650 серверов Microsoft SQL Server.

Кроме того, по словам эксперта, злоумышленникам удалось полностью скомпрометировать не менее четырёх информационных систем организаций, включая турецкого оборонного подрядчика НАТО, причём были похищены секретные оборонные документы. По словам другого эксперта — Кевина Бомона (Kevin Beaumont), также проверившего украденные данные, они действительно «подлинные», а логины и пароли настоящие, причём оборудование многих из пострадавших компаний использует довольно свежие обновления безопасности.

Сама Fortinet заявила, что появившиеся в «даркенете» данные относятся к более ранним инцидентам и атакам с перебором паролей. В компании уверены, что организации, соблюдающие стандартные протоколы безопасности, в т.ч. регулярную смену учётных данных, подвержены минимальному риску компрометации. Журналисты связались с пострадавшими от атаки, получившей название FortiBleed, из которых откликнулась только Lenovo, заявившая, что проводит расследование.

Компания «ТС Интеграция», дочерняя структура многопрофильного IT-холдинга Т1, по сообщению газеты Коммерсантъ», пытается через суд взыскать почти $3,5 млн с ООО «МКТ» — учредителя IT-поставщика «Марвел-дистрибуция». Спор связан с договором на поставку продуктов американской корпорации Fortinet, которая специализируется на ПО и сервисах в области информационной безопасности.

Говорится, что в сентябре 2019 года Т1 и «Марвел-дистрибуция» заключили рамочный договор на поставку кодов активации софта, блоков обработки данных и модулей Fortinet. Эти решения Т1 затем поставляла банку ВТБ. Однако 7 марта 2022-го Fortinet объявила о прекращении техподдержки своих продуктов в РФ.

«ТС Интеграция» требует от ООО «МКТ» $2,9 млн плюс $536 тыс. в качестве процентов за «пользование чужими денежными средствами». В августе 2024 года суд первой инстанции отказал Т1 в удовлетворении требований, апелляция также встала на сторону «Марвел-дистрибуции». В результате, «ТС Интеграция» подала кассационную жалобу: её рассмотрение намечено на 24 января 2025-го.

Источник изображения: unsplash.com / Tingey Injury Law Firm

Как отмечают эксперты, из-за специфики поставленного товара суды посчитали, что ни истец, ни ответчик не являются сторонами лицензионного соглашения. Отмечается также, что продукты были поставлены истцу в надлежащем качестве и в оговорённые в договоре сроки. А приостановление работы компании-правообладателя Fortinet в России «не служит основанием для вывода о ненадлежащем качестве поставленного товара». Таким образом, претензии Т1 отклонены.

По словам экспертов, в России на сегодняшний день нет однозначно сформированной практики по данной категории дел. Например, в отдельных случаях суд может удовлетворить требования истцов, ссылаясь на то, что уход иностранного производителя из РФ не освобождает компанию от выполнения своих обязательств по договору поставки. В целом, с 2022 года в российских судах было инициировано около 100 подобных разбирательств.