«CISA: Προστασία συσκευών Fortinet μετά τη διαρροή FortiBleed»

Εν μέσω αυξανόμενης κυβερνοαπειλής, οι χρήστες των συσκευών Fortinet βρίσκονται σε επιφυλακή μετά την αποκάλυψη διαρροής 74.000 διαπιστευτηρίων VPN και τείχους προστασίας, μια υπόθεση που ονομάστηκε “FortiBleed”. Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προειδοποίησε τους χρήστες ότι οι συσκευές τους ενδέχεται να είναι ευάλωτες στις επιθέσεις εγκληματιών του κυβερνοχώρου που προσπαθούν να εκμεταλλευτούν αυτές τις διαρροές.

Οι πληροφορίες που διαρρέουν έχουν ήδη χρησιμοποιηθεί σε επιθέσεις κατά κυβερνητικών και ιδιωτικών οργανισμών ανά τον κόσμο, προκαλώντας ανησυχίες για τη διαδικτυακή ασφάλεια και την ασφάλεια ευαίσθητων δεδομένων.

«Αναγνωρίζουμε ότι οι επιθέσεις από κακόβουλες ομάδες αναφορούν παραβιασμένα διαπιστευτήρια που στοχεύουν συσκευές Fortinet», σημείωσε η CISA. «Η παραβίαση αυτή, γνωστή ως FortiBleed, περιλαμβάνει διαπιστευτήρια που αφορούν περίπου 74.000 συσκευές, ανάμεσα στις οποίες τείχη προστασίας και VPN.

Η CISA καλεί τους κατόχους των συσκευών FortiGate να αναλάβουν άμεσες δράσεις, όπως την απενεργοποίηση όλων των συνδέσεων SSL VPN και διαχείρισης, την επαναφορά των κωδικών πρόσβασης και την εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων για τη μείωση της πιθανότητας εκμετάλλευσης των διαπιστευτηρίων.

Επιπλέον, η υπηρεσία προτείνει την αποθήκευση των διαπιστευτηρίων με τον αλγόριθμο κατακερματισμού PBKDF2 και τον περιορισμό της δημόσιας πρόσβασης στις διεπαφές διαχείρισης των τειχών προστασίας, απομακρύνοντας μη εξουσιοδοτημένους λογαριασμούς.

Διαρροή δεδομένων που αφορά πάνω από 73.000 τείχη προστασίας

Η διαρροή FortiBleed ανακαλύφθηκε από τον ερευνητή ασφαλείας Volodymyr «Bob» Diachenko, ο οποίος εντόπισε έναν διακομιστή γεμάτο έγκυρα διαπιστευτήρια Fortinet VPN, που περιλάμβαναν ονόματα χρηστών, διευθύνσεις email και κωδικούς πρόσβασης σε απλό κείμενο για 73.932 URL τείχους προστασίας σε παγκόσμιο επίπεδο.

Οι εκτεθειμένες πληροφορίες περιλαμβάνουν επίσης τον κλάδο, τα έσοδα και τον αριθμό εργαζομένων κάθε οργανισμού, γεγονός που φαίνεται ότι έχει σχεδιαστεί για να διευκολύνει τις στοχευμένες επιθέσεις.

Η εταιρεία πληροφοριών Hudson Rock, η οποία έκανε ανάλυση των δεδομένων, το περιγράφει ως μία από τις μεγαλύτερες συλλογές παραβιασμένων διαπιστευτηρίων Fortinet, με κάλυψη 21.632 μοναδικών τομέων και 194 χωρών.

Κάποιοι από τους οργανισμούς που περιλαμβάνονται στη συλλογή δεδομένων είναι μεγάλοι παίκτες όπως οι Samsung, Mercedes-Benz, Foxconn, Chevron και πολλές κυβερνητικές υπηρεσίες σε κρίσιμους τομείς όπως οι τηλεπικοινωνίες και η υγειονομική περίθαλψη.

Ο μεγαλύτερος αριθμός των επηρεαζόμενων συσκευών προέρχεται από χώρες όπως η Ινδία, οι Ηνωμένες Πολιτείες, η Ταϊβάν, το Μεξικό, η Τουρκία και η Νότια Κορέα.

Σύνδεση με ρωσόφωνη ομάδα απειλών

Ο Diachenko δήλωσε ότι η παρέμβαση σχετίζεται με ρωσόφωνη ομάδα απειλών που πραγματοποίησε περίπου 1,16 δισεκατομμύρια απόπειρες εισόδου σε περισσότερους από 320.000 στόχους FortiGate, προκειμένου να υποκλέψει κωδικούς πρόσβασης SSL VPN. Η προέλευση των διαρρευσθέντων δεδομένων παραμένει αδιευκρίνιστη.

Ο κυβερνοασφαλιστής Kevin Beaumont επιβεβαίωσε τη γνησιότητα ορισμένων από τα διαπιστευτήρια, σημειώνοντας πως οι περισσότερες επηρεαζόμενες συσκευές παραμένουν ενεργές online. «Τα δεδομένα είναι νόμιμα. Η πλειονότητα αυτών των συσκευών παραμένει συνδεδεμένη, πράγμα που δείχνει ότι πρόκειται για πρόσφατα δεδομένα», ανέφερε.

Αν και υπάρχουν υποψίες για το πώς εκλάπησαν τα δεδομένα, ο Hudson Rock έχει αναπτύξει ένα δωρεάν εργαλείο ελέγχου FortiBleed για την ανίχνευση των επηρεαζόμενων οργανισμών.

Παράλληλα, η εταιρεία Defused προειδοποίησε ότι αρκετές κρίσιμες ευπάθειες της πλατφόρμας FortiSandbox της Fortinet εκμεταλλεύονται ήδη για επιθέσεις. Συνολικά, η CISA παρακολουθεί 26 ευπάθειες Fortinet που έχουν χρησιμοποιηθεί σε κακόβουλες επιθέσεις τα τελευταία χρόνια, εκ των οποίων 13 σχετίζονται με ransomware.