FortiBleed: утечка данных раскрыла учетные данные 74 000 межсетевых экранов Fortinet в ходе активных атак на корпоративные сети
TL;DR
FortiBleed: как 74 000 межсетевых экранов Fortinet стали открытой дверью для хакеров
Мир кибербезопасности потрясен «FortiBleed» — масштабной кампанией по сбору учетных данных, которая фактически передала ключи от корпоративных сетей в руки преступников. Речь идет не о мелком сбое: скомпрометированы административные и VPN-учетные данные 73 932 межсетевых экранов Fortinet FortiGate в 194 странах. Последствия катастрофичны: от государственных органов до крупнейших транснациональных корпораций. Конфиденциальные данные конфигураций и токены аутентификации сейчас активно продаются на криминальных форумах.
Кто стоит за этой операцией? Русскоязычная хакерская группировка, которая не просто случайно наткнулась на эти данные, а создала мощную офлайн-ферму из 45 графических процессоров (GPU) специально для взлома перехваченных хешей аутентификации SSL VPN. Исследователи безопасности из Bitsight подтвердили, что это не просто теория. Оппортунистические хакеры и продвинутые государственные субъекты уже используют эти данные для проникновения во внутренние среды Active Directory.
Технический «первородный грех»
В основе проблемы FortiBleed лежит то, как старые версии FortiOS обрабатывали хеширование паролей. Оказалось, что даже после установки обновлений прошивки пароли администраторов часто оставались в системе в виде слабых хешей SHA-256. Они не обновлялись автоматически до более надежного стандарта PBKDF2 до тех пор, пока пользователь физически не входил в систему. Этот небольшой промежуток времени — «ожидание входа» — дал злоумышленникам достаточно времени, чтобы собрать хеши и взломать их в спокойном режиме.
Масштабы поражают. Злоумышленники предприняли более 1,16 миллиарда попыток подбора учетных данных против целей FortiGate и еще 2,1 миллиарда — против систем MSSQL. Используя кластер из 45 GPU, они успешно подтвердили учетные данные для 73 932 уникальных URL-адресов межсетевых экранов в более чем 21 600 различных доменах. Данные реальны и опасны. Исследователи, такие как Hudson Rock, отслеживают распространение этой информации, и консенсус очевиден: утечка носит масштабный и системный характер.
Кто под прицелом?
Примерно половина всех доступных из интернета устройств FortiGate по всему миру оказались затронуты. Список жертв напоминает список Fortune 500: Samsung, Siemens и Oracle, а также различные государственные органы. В одном из случаев злоумышленники использовали украденные учетные данные для проникновения в сеть оборонного подрядчика НАТО, похитив секретные документы.
Проникнув внутрь, они не бездействуют. Они развертывают стандартный набор инструментов для закрепления в системе и картографирования внутренней сети. Если вы системный администратор, вам следует обратить внимание на следующие инструменты:
- Chisel: быстрый TCP/UDP туннель поверх HTTP, который позволяет легко обходить ограничения межсетевых экранов.
- Neo-reGeorg: опасная веб-оболочка, используемая для перемещения по сети и глубокой разведки.
- EternalBlue: классический выбор для горизонтального перемещения и повышения привилегий после получения доступа.
| Метрика | Детали |
|---|---|
| Затронутые устройства | 73 932 уникальных URL FortiGate |
| Глобальный охват | 194 страны |
| Основная уязвимость | Слабое хеширование паролей SHA-256 |
| Инфраструктура атаки | Кластер из 45 GPU |
| Наблюдаемая активность | Активная эксфильтрация данных из внутреннего AD |
Устранение последствий
Если вы используете FortiGate, вам необходимо проверить статус прошивки немедленно. Уязвимость затрагивает устройства, работающие на версиях FortiOS до 7.2.11, 7.4.8 и 7.6.1. Не полагайтесь только на слова — проверьте ленты аналитики киберугроз, чтобы узнать, не является ли ваша инфраструктура частью утекших наборов данных.
Решение простое, но трудоемкое: обновите прошивку до последних исправленных версий. Эти версии принудительно переводят систему на более надежное хеширование паролей. Кроме того, необходимо провести аудит учетных записей администраторов и журналов VPN на предмет подозрительной активности. Как отмечает Recorded Future, эти злоумышленники не остановятся. Вам необходимо сменить все учетные данные и внедрить многофакторную аутентификацию (MFA) для каждого интерфейса управления, доступного из публичного интернета.
Обнаружение сервера, на котором размещен этот массивный список учетных данных, приписывается исследователю Владимиру «Бобу» Дьяченко. Его работа подчеркивает суровую реальность: использование устаревших методов хеширования в оборудовании корпоративного класса — это путь к катастрофе. Если ваше устройство FortiGate, выходящее в интернет, не обновлялось в последнее время, вы должны исходить из того, что оно уже скомпрометировано.
Кампания динамична. Эти группы меняют тактику, как только чувствуют давление. Ваша лучшая защита — это непрерывный цикл обновления и параноидальный контроль сетевого трафика. Следите за активностью Chisel или Neo-reGeorg, контролируйте исходящий трафик на наличие аномалий и отслеживайте любые признаки горизонтального перемещения. После утечки такого масштаба «достаточно хорошей» безопасности будет недостаточно.
