- 27,681
- 46
- 8 Ноя 2022
Ключ под ковриком – вкратце, как тысячи компаний из списка Fortune 500 «защищали» свои корпоративные сети.
Крупные компании по всему миру могли годами держать на виду двери, к которым у злоумышленников уже были ключи. Специалисты сообщили о масштабной кампании FortiBleed, в ходе которой киберпреступники получили доступ к десяткам тысяч межсетевых экранов Fortinet и шлюзов виртуальных частных сетей FortiGate .
Атака не похожа на взлом через новую неизвестную уязвимость. Схема проще и опаснее: злоумышленники ищут открытые в интернете устройства Fortinet, а затем пробуют ранее утекшие или подобранные пароли. После входа в систему скомпрометированный шлюз начинает прослушивать трафик. Через него собирают новые учётные данные и используют свежие пароли для дальнейших атак.
Hudson Rock утверждает , что нашла признаки компрометации 73 932 уникальных адресов межсетевых экранов в 194 странах. SOCRadar оценивает число затронутых устройств более чем в 30 000. В найденных данных фигурируют 21 632 домена, а среди потенциально пострадавших организаций называются Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens, PwC, государственные структуры и операторы критической инфраструктуры. Специалисты разработали бесплатный инструмент для проверки того, затронула ли уязвимость FortiBleed конкретную организацию.
Наибольшее число затронутых устройств, по данным Hudson Rock, находится в Индии, США, Тайване, Мексике, Турции, Таиланде, Колумбии, Малайзии, Чили и ОАЭ. Среди отраслей чаще всего встречаются телекоммуникации, информационные услуги, финансовый сектор, государственные организации, медицина, образование и промышленность.
Первым об утечке сообщил специалист по безопасности Боб Дьяченко. Он обнаружил открытый сервер с базой, где хранились имена пользователей, адреса электронной почты и пароли в открытом виде. По его данным, злоумышленники могли провести около 1,16 млрд попыток входа по 320 777 целям FortiGate и ещё 2,1 млрд попыток против 163 650 серверов Microsoft SQL Server. Дьяченко также утверждает, что на сервере остались служебные файлы, журналы, сценарии и другие следы работы группировки.
Независимый специалист Кевин Бомонт проверил часть массива и заявил, что данные выглядят настоящими. По его оценке, в базе около 75 000 устройств Fortinet, и почти все по-прежнему доступны в интернете. Он также предположил, что часть сведений могла быть взята из экспортированных настроек Fortinet, поскольку в массиве есть данные, которые обычно находятся именно в конфигурационных файлах. При этом точный способ получения исходной базы пока неизвестен.
Fortinet заявила , что знает о сторонней кампании, которая похищает учётные данные и нацелена на межсетевые экраны и шлюзы виртуальных частных сетей компании. По версии Fortinet, опубликованный массив связан с тем, что злоумышленники повторно публиковали данные из старых инцидентов и перебирали пароли , а не с новой уязвимостью, недавним взломом или свежим бюллетенем безопасности.
Специалисты советуют компаниям немедленно сменить пароли для административных интерфейсов и виртуальных частных сетей Fortinet, включить многофакторную аутентификацию, проверить журналы шлюзов на подозрительную активность и отдельно проследить, не фигурируют ли учётные данные сотрудников в других утечках.
Крупные компании по всему миру могли годами держать на виду двери, к которым у злоумышленников уже были ключи. Специалисты сообщили о масштабной кампании FortiBleed, в ходе которой киберпреступники получили доступ к десяткам тысяч межсетевых экранов Fortinet и шлюзов виртуальных частных сетей FortiGate .
Атака не похожа на взлом через новую неизвестную уязвимость. Схема проще и опаснее: злоумышленники ищут открытые в интернете устройства Fortinet, а затем пробуют ранее утекшие или подобранные пароли. После входа в систему скомпрометированный шлюз начинает прослушивать трафик. Через него собирают новые учётные данные и используют свежие пароли для дальнейших атак.
Hudson Rock утверждает , что нашла признаки компрометации 73 932 уникальных адресов межсетевых экранов в 194 странах. SOCRadar оценивает число затронутых устройств более чем в 30 000. В найденных данных фигурируют 21 632 домена, а среди потенциально пострадавших организаций называются Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens, PwC, государственные структуры и операторы критической инфраструктуры. Специалисты разработали бесплатный инструмент для проверки того, затронула ли уязвимость FortiBleed конкретную организацию.
Наибольшее число затронутых устройств, по данным Hudson Rock, находится в Индии, США, Тайване, Мексике, Турции, Таиланде, Колумбии, Малайзии, Чили и ОАЭ. Среди отраслей чаще всего встречаются телекоммуникации, информационные услуги, финансовый сектор, государственные организации, медицина, образование и промышленность.
Первым об утечке сообщил специалист по безопасности Боб Дьяченко. Он обнаружил открытый сервер с базой, где хранились имена пользователей, адреса электронной почты и пароли в открытом виде. По его данным, злоумышленники могли провести около 1,16 млрд попыток входа по 320 777 целям FortiGate и ещё 2,1 млрд попыток против 163 650 серверов Microsoft SQL Server. Дьяченко также утверждает, что на сервере остались служебные файлы, журналы, сценарии и другие следы работы группировки.
Независимый специалист Кевин Бомонт проверил часть массива и заявил, что данные выглядят настоящими. По его оценке, в базе около 75 000 устройств Fortinet, и почти все по-прежнему доступны в интернете. Он также предположил, что часть сведений могла быть взята из экспортированных настроек Fortinet, поскольку в массиве есть данные, которые обычно находятся именно в конфигурационных файлах. При этом точный способ получения исходной базы пока неизвестен.
Fortinet заявила , что знает о сторонней кампании, которая похищает учётные данные и нацелена на межсетевые экраны и шлюзы виртуальных частных сетей компании. По версии Fortinet, опубликованный массив связан с тем, что злоумышленники повторно публиковали данные из старых инцидентов и перебирали пароли , а не с новой уязвимостью, недавним взломом или свежим бюллетенем безопасности.
Специалисты советуют компаниям немедленно сменить пароли для административных интерфейсов и виртуальных частных сетей Fortinet, включить многофакторную аутентификацию, проверить журналы шлюзов на подозрительную активность и отдельно проследить, не фигурируют ли учётные данные сотрудников в других утечках.
- Источник новости
- www.securitylab.ru
