Протекувањето на податоци „FortiBleed“ откри VPN акредитиви на Fortinet за 73.000 уреди

Новооткриено протекување на податоци, наречено „FortiBleed“, открило колекција од VPN акредитиви за Fortinet и FortiGate уреди, која опфаќа 73.932 URL-адреси на заштитни ѕидови (firewall-и) во организации ширум светот.

Изложените податоци прв ги открил истражувачот за сајбер-безбедност Боб Дјаченко, кој изјави дека пронашол сервер што содржел навидум валидни Fortinet VPN акредитиви, вклучувајќи кориснички имиња, е-поштенски адреси и лозинки зачувани во обичен текст (plaintext).

Според снимките од екранот и информациите што ги споделил Дјаченко, базата на податоци содржела записи поврзани со компании и организации како:

• Chevron
• Samsung
• Foxconn
• Comcast
• AT&T
• Mercedes-Benz
• Toyota
• Sinopec
• State Grid

како и многу други.

„Откриена е масовна кампања за brute-force напади и активно искористување на Fortinet/FortiGate системи“, објави Дјаченко на LinkedIn.

„Во датотеките се наведени илјадници инстанци на водечки компании (видете ја снимката од екранот). Само оваа датотека содржи 21.634 имиња на домени – од Chevron до самиот Fortinet. За сите постојат потенцијално функционални лозинки за FortiGate уредите, добиени преку различни методи.“

Изложените податоци содржеле и дополнителни белешки за секоја организација, вклучувајќи:

• индустриски сектор,
• годишни приходи,
• број на вработени,

што најверојатно било наменето за планирање и приоретизирање на идни сајбер-напади.

Доколку овие акредитиви навистина се валидни, протекувањето претставува сериозен безбедносен ризик, бидејќи може да овозможи неовластен пристап до корпоративни VPN мрежи и критични деловни системи низ целиот свет.

Подоцна, Боб Дјаченко сподели дополнителни информации според кои операцијата била спроведена од рускојазична група со повеќе оператори, која собирала акредитиви за FortiGate SSL VPN уреди.

Според неговата истрага, напаѓачите извршиле приближно 1,16 милијарди обиди за најава против 320.777 FortiGate цели, како и дополнителни 2,1 милијарди обиди против 163.650 Microsoft SQL Server системи.

Тој понатаму тврди дека актерите на заканата пресретнувале SSL VPN автентикациски хешови, ги кршеле користејќи кластер од 45 графички процесори (GPU) управуван преку Hashtopolis и потоа ги користеле добиените акредитиви за латерално движење во внатрешните Active Directory околини.

Дјаченко изјавил за BleepingComputer дека до овие детали дошол по анализа на дополнителни датотеки кои случајно биле изложени на истиот сервер.

„Случајно оставиле отворен директориум со артефакти, конекциски стрингови, алатки, скрипти и податоци. Аналитиката беше добиена преку нивните cron задачи, bash историја, логови и слично“, објаснил Дјаченко.

Истражувачот исто така навел дека повеќе организации во Јапонија, Тајван, Виетнам, Ирак и Турција биле целосно компромитирани, вклучувајќи и турски одбранбен изведувач поврзан со НАТО, од кој наводно биле украдени доверливи документи.

Анализа на Hudson Rock

Компанијата за разузнавање на закани Hudson Rock објави сопствена анализа на изложените податоци откако го добила сетот на податоци од Дјаченко.

Компанијата ја опиша колекцијата како една од најголемите познати бази на компромитирани акредитиви поврзани со Fortinet.

Според Hudson Rock:

• Базата содржи 73.932 уникатни URL-адреси на firewall уреди.
• Опфатени се 194 држави.
• Засегнати се 21.632 уникатни домени.

Компанијата наведува дека напаѓачите воделе детални евиденции за успешните компромитации и изградиле база со потврдени акредитиви за организации од речиси сите големи индустриски сектори.

Меѓу организациите што се појавуваат во податоците се:

• Foxconn
• Samsung
• Comcast
• Siemens
• Lenovo
• PwC
• Accenture
• Oracle

како и бројни владини институции и оператори на критична инфраструктура.

Најпогодени земји

Според статистиката на Hudson Rock, најголем број засегнати уреди се регистрирани во:

1. Индија
2. Соединетите Американски Држави
3. Тајван
4. Мексико
5. Турција
6. Тајланд
7. Колумбија
8. Малезија
9. Чиле
10. Обединетите Арапски Емирати

Најзасегнати индустрии

Најчесто застапени сектори во базата се:

• Телекомуникации
• ИТ услуги
• Финансиски услуги
• Владин сектор
• Здравствени установи
• Образовни институции
• Производствена индустрија

Необичен аспект на протекувањето

Еден од најинтересните детали е што голем дел од изложените лозинки биле долги и комплексни, односно такви што вообичаено се сметаат за тешки за пробивање.

Веројатно потекнуваат од Fortinet конфигурации

Истражувачот за сајбер-безбедност Кевин Бомонт независно анализирал дел од податоците и за BleepingComputer изјавил дека дел од акредитивите се автентични.

„Успеав да ја потврдам автентичноста на некои администраторски кориснички имиња и лозинки – изгледа како вистински сет на украдени податоци“, изјавил Бомонт.

По дополнителна анализа на податоците споделени од Hudson Rock, Бомонт објавил дека базата содржи акредитиви за околу 75.000 Fortinet уреди, од кои повеќето сè уште се достапни преку интернет.

Според него, податоците најверојатно потекнуваат од извезени Fortinet конфигурациски датотеки бидејќи содржат информации, како што се е-поштенски адреси, кои вообичаено се достапни само преку конфигурациите.

Тој исто така истакнал дека IP-адресите се различни од оние во протекувањето на Belsen Group од 2025 година, што укажува дека станува збор за понов и поголем сет на компромитирани уреди.

„Податоците се легитимни. Станува збор за околу 75.000 уреди. Речиси сите сè уште се онлајн и се Fortinet уреди. Изгледа дека информациите се релативно нови“, напишал Бомонт.

Речиси половина од сите интернет-достапни Fortinet firewall уреди

Врз основа на мрежните податоци од Shodan, Бомонт проценува дека протекувањето опфаќа приближно половина од сите Fortinet firewall уреди што се директно достапни преку интернет.

Дополнително, поголемиот дел од засегнатите уреди ги изложуваат своите FortiGate административни интерфејси директно на интернет, што значително го зголемува ризикот.

Потеклото сè уште е непознато

Изворот на конфигурациските податоци останува непознат.

Во моментов не е јасно дали информациите биле украдени преку:

• претходно познати Fortinet ранливости,
• новооткриена безбедносна слабост,
• или некој друг метод.

Ниту Дјаченко, ниту Hudson Rock, ниту Бомонт досега не успеале да утврдат како првично биле добиени конфигурациските податоци.

Препораки за организациите

Hudson Rock објави бесплатна алатка „FortiBleed Lookup“ преку која организациите можат да проверат дали се засегнати.

Организациите што се појавуваат во базата треба веднаш да:

• ги сменат лозинките за Fortinet VPN и административните интерфејси;
• воведат повеќефакторска автентикација (MFA);
• ги анализираат логовите на VPN и gateway системите за сомнителни активности;
• следат дали има изложени акредитиви на вработени.

Одговор на Fortinet

По објавувањето на веста, Fortinet соопшти за BleepingComputer дека нивната истрага покажува оти колекцијата на акредитиви потекнува од претходни инциденти и brute-force напади, а не од нова ранливост или нов пробив.

„Fortinet е запознаен со пријавената кампања за собирање акредитиви од трета страна насочена кон Fortinet firewall и VPN уреди. Посветени сме на заштита на нашите корисници и континуирано ги следиме активностите на актерите на закани на dark web платформите“, соопшти компанијата.

„Нашата анализа покажува дека станува збор за повторно споделување на податоци од претходни инциденти, како и за резултати од brute-force напади врз акредитиви, а не за неодамнешен безбедносен инцидент или советување за ранливост. Организациите што ги следат стандардните безбедносни практики, вклучително и редовна промена на акредитивите, се изложени на минимален ризик.“

Fortinet додаде дека истрагата продолжува и дека безбедноста на корисниците останува нивен највисок приоритет.

Извори:

• Bleeping Computer – FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. Bleeping Computer