Критическая утечка Fortinet: скомпрометированы данные 75 000 межсетевых экранов — срочно смените пароли
Пользователям устройств Fortinet следует как можно скорее обновить пароли. Хакеры смогли проникнуть почти на 75 тысяч таких систем и похитили авторизационные данные крупных компаний из 194 стран. В ряде случаев корпоративные сети оказались взломаны, пишет The Register.
Специалисты по кибербезопасности подтвердили подлинность данных и отмечают, что скомпрометированные пароли к оборудованию FortiGate относятся к учетным записям международных гигантов, таких как FoxConn, Samsung, Comcast, Siemens, Lenovo, FedEx, PwC, Accenture, Oracle и других. Организациям советуют проверить, не оказались ли их домены в списке жертв атаки, и немедленно заменить пароли, используемые для систем Fortinet VPN и панелей управления. Также важно убедиться, что включена многофакторная аутентификация, ведь подобная утечка способна открыть доступ не только к межсетевому экрану, но и ко всей корпоративной инфраструктуре.
Как сообщает Hudson Rock, инцидент затронул 21 632 уникальных домена. Компания подчеркивает, что утечка коснулась практически всех отраслей мировой экономики, а злоумышленники создали базу актуальных учетных данных для многих крупнейших корпораций. По оценкам Shodan, похищенные сведения относятся примерно к половине всех доступных в интернете межсетевых экранов Fortinet. Более того, большинство из них всё ещё находятся онлайн, поэтому потенциальным жертвам лучше сменить пароли без промедления.
Источник изображения: Moritz Kindler/unspalsh.com
Исследователь Volodymyr «Bob» Diachenko, который первым заметил следы атак, считает, что они, вероятно, связаны с «русскоязычной» группировкой. По его словам, злоумышленники перехватывают аутентификацию SSL VPN, расшифровывают хеши с помощью кластера из 45 ускорителей через Hashtopolis, а затем проникают во внутренние среды Active Directory. В ходе этой операции было предпринято 1,16 миллиарда попыток подбора учетных данных для 320 777 устройств FortiGate и еще 2,1 миллиарда попыток против 163 650 серверов Microsoft SQL Server.
Помимо этого, как отметил специалист, хакерам удалось полностью взломать как минимум четыре информационные системы организаций, среди которых был турецкий подрядчик НАТО в сфере обороны, и при этом были украдены конфиденциальные оборонные документы. Другой эксперт, Кевин Бомон (Kevin Beaumont), который также проверил похищенные сведения, подтвердил, что они действительно «настоящие», а логины и пароли являются подлинными, причём оборудование многих пострадавших компаний использует довольно актуальные обновления безопасности.
Сама компания Fortinet заявила, что данные, опубликованные в «даркнете», относятся к более старым инцидентам и атакам методом подбора паролей. В организации уверены, что предприятия, которые соблюдают стандартные протоколы безопасности, включая регулярную смену учётных данных, подвергаются минимальному риску взлома. Журналисты связались с пострадавшими от атаки, получившей название FortiBleed, и среди них откликнулась только Lenovo, которая сообщила, что проводит расследование.
Источник: