Säkerhetsmeddelande: FortiBleed-kampanjen – Storskalig säkerhetsöverträdelse av Fortinet-enheter

Forskare har nyligen avslöjat en storskalig kampanj, kallad ”FortiBleed”, som innebär att inloggningsuppgifter kopplade till Fortinets FortiGate-brandväggar och SSL-VPN-enheter i miljöer världen över har komprometterats och läckt ut.

Till skillnad från traditionella sårbarheter är FortiBleed inte en enskild CVE eller en bekräftad zero-day-sårbarhet. Istället handlar det om en aktiv kampanj för att exponera och utnyttja inloggningsuppgifter, där återanvända och potentiellt exponerade inloggningsuppgifter utnyttjas i stor skala.

Det exakta ursprunget till de inloggningsuppgifter som används i denna kampanj har inte bekräftats. Aktiviteten stämmer dock överens med storskaliga tekniker för återanvändning och insamling av inloggningsuppgifter.

Kampanjen har observerats drabba tiotusentals Fortinet-enheter med internetanslutning i mer än 190 länder, vilket påverkar organisationer inom kritisk infrastruktur, offentlig sektor och företagssektorn.

Denna aktivitet belyser risken med återanvändning av inloggningsuppgifter, exponerade administrationsgränssnitt och otillräckliga autentiseringskontroller, särskilt i kantinfrastruktur såsom VPN-gateways.

Vad kampanjen innebär

FortiBleed kännetecknas av en högt automatiserad attackmodell som kombinerar flera tekniker istället för att förlita sig på en enda sårbarhet.

Rapporterad eller observerad aktivitet i samband med kampanjen inkluderar:

• Återanvändning av inloggningsuppgifter och credential stuffing med hjälp av stora datamängder med kända eller exponerade inloggningsuppgifter
• Massiv internetsökning för att identifiera exponerade Fortinet-enheter
• Storskaliga autentiseringsförsök, inklusive brute-force-attacker mot VPN och administrativa gränssnitt
• Möjlig avlyssning eller insamling av autentiseringsdata från komprometterade system
• Återanvändning av nyförvärvade inloggningsuppgifter för att potentiellt utöka åtkomsten

I många fall verkar kampanjen förlita sig på giltiga inloggningsuppgifter snarare än att utnyttja en specifik programvarubrist, vilket gör den svårare att upptäcka genom traditionella processer för sårbarhetshantering.

Omfattning och konsekvenser

Offentliga rapporter visar följande:

• Upp till cirka 73 000 Fortinet-brandväggar och VPN-ändpunkter kan vara kopplade till exponerade inloggningsuppgifter
• Över 30 000 enheter har verifierade, fungerande inloggningsuppgifter i angriparnas datamängder
• Aktiviteten sträcker sig över 194 länder och påverkar organisationer inom både den offentliga och den privata sektorn

Bland de drabbade systemen ingår:

• FortiGate-brandväggar (primärt mål)
• SSL-VPN-gränssnitt som är exponerade mot internet
• Administrativa hanteringsportaler för Fortinet-enheter

En lyckad attack kan göra det möjligt för angripare att:

• Få bestående åtkomst till enheter i nätverkets ytterkant
• Övervaka och avlyssna nätverkstrafik
• Samla in ytterligare inloggningsuppgifter
• Ta sig vidare till interna system, till exempel Active Directory-miljöer

Viktigt förtydligande

Det är viktigt att notera följande:

• I många fall verkar kampanjen förlita sig på giltiga inloggningsuppgifter snarare än på en enskild identifierad programvarubrott.
• Aktuell analys tyder på att kampanjen innefattar omfattande återanvändning av inloggningsuppgifter, även om de exakta metoderna för initial åtkomst kan variera och inte är helt bekräftade.
• Vissa kända sårbarheter hos Fortinet kan utnyttjas opportunistiskt, men de har inte bekräftats som den grundläggande orsaken till kampanjen

Hotaktivitet

Kampanjen uppges innefatta:

• Högt automatiserad aktivitet, med potential att hantera stora volymer av autentiseringsförsök
• Kontinuerlig eller upprepad skanning och validering av inloggningsuppgifter mot utsatta system
• Återanvändning av komprometterade inloggningsuppgifter, vilket kan göra det möjligt för angripare att utöka sin åtkomst över tid

Vissa rapporter pekar på att hotaktörerna är organiserade och ekonomiskt motiverade, men tillskrivningen utreds fortfarande.

Vad detta innebär för organisationer

FortiBleed visar på en förskjutning mot:

• Intrångskampanjer i stor skala som drivs av inloggningsuppgifter
• Att man i första hand riktar in sig på enheter i nätverkets ytterkant snarare än på interna system
• Utnyttjande av identitetsbaserade svagheter snarare än främst programvarufel

Organisationer kan löpa risk om de:

• Exponerar Fortinets administrationsgränssnitt eller VPN-portaler mot internet
• Återanvänder lösenord mellan olika system eller underlåter att byta inloggningsuppgifter
• Inte tillämpar multifaktorautentisering (MFA)
• Saknar insyn i autentiseringsaktiviteten på nätverksgränsenheter

Eftersom giltiga inloggningsuppgifter kan användas kan intrång framstå som legitim aktivitet, vilket fördröjer upptäckten.

Rekommenderade åtgärder

1. Kontrollera om din organisation är drabbad

Sök efter organisationens domäner, IP-adresser och kända inloggningsuppgifter med hjälp av Hudson Rocks Fortinet-exponeringskontroll (https://www.hudsonrock.com/fortinet) eller andra pålitliga externa verktyg för att avgöra om de förekommer i offentligt identifierade datamängder kopplade till denna kampanj. Följ upp eventuella träffar genom att återställa inloggningsuppgifter och granska loggar.

2. Byt inloggningsuppgifter omedelbart

• Återställ lösenord för alla Fortinet-enheter och administratörskonton
• Inför strikta lösenordspolicyer
• Undvik att återanvända inloggningsuppgifter som tidigare har läckt ut

3. Inför multifaktorautentisering (MFA)

• Tillämpa MFA för all VPN- och administratörsåtkomst
• Prioritera MFA för tjänster som är anslutna till internet

4. Begränsa exponeringen av administrationsgränssnitt

• Begränsa åtkomsten till Fortinets administrativa portaler och SSL-VPN-ändpunkter
• Använd IP-tillåtelselistor eller begränsningar för VPN-åtkomst
• Undvik direkt exponering mot det offentliga internet där det är möjligt

5 Övervaka autentiseringsaktivitet

• Granska loggarna för:
  • Ovanliga inloggningsförsök
  • Upprepade misslyckade autentiseringsförsök
  • Inloggningar från oväntade geografiska platser
• Undersök eventuellt avvikande beteende under sessionen

6. Granska tecken på intrång

• Kontrollera om det finns obehöriga konton eller konfigurationsändringar
• Övervaka ovanlig utgående trafik från Fortinet-enheter
• Kontrollera att systemkonfigurationerna är intakta

7. Installera säkerhetsuppdateringar

Även om FortiBleed inte är kopplat till en enskild sårbarhet, se till att:

• Alla Fortinet-system är fullständigt uppdaterade
• Att kända sårbarheter som utnyttjats har åtgärdats

Risksammanfattning

FortiBleed utgör en global, inloggningsuppgiftsdriven attackkampanj med stor påverkan, snarare än en traditionell sårbarhetsbaserad incident.

Eftersom den kan utnyttja giltiga inloggningsuppgifter och betrodda åtkomstvägar kan den kringgå många konventionella säkerhetskontroller och förbli oupptäckt under långa perioder.

Organisationer bör betrakta denna aktivitet som en prioriterad risk för nätverksperimetersäkerheten och omedelbart vidta åtgärder för att kontrollera om det finns exponerade inloggningsuppgifter eller sårbara åtkomstvägar i deras miljö.

Om du är orolig för någon av de hot som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige eller ta kontaktmed oss för att ta reda på hur du kan skydda din organisation.