- 27,719
- 46
- 8 Ноя 2022
Хакеры атаковали сетевые шлюзы Fortinet с помощью старых утечек и подбора паролей.
Fortinet сообщила, что выявила потенциально скомпрометированные системы и связывается с затронутыми клиентами после сообщений о кампании FortiBleed, пишет компания . По предварительной оценке производителя, злоумышленники повторно используют учётные данные из прошлых инцидентов FG-IR-26-060 и FG-IR-25-647, а также подбирают слабые пароли.
Целями становятся устройства Fortinet со слабой парольной политикой и без двухфакторной защиты. Fortinet подчёркивает, что FortiBleed не использует новую уязвимость в продуктах компании и не связан с недавно опубликованными уведомлениями безопасности. Производитель начал расследование вместе с профильными государственными органами.
Владельцам затронутых FortiGate рекомендуют немедленно завершить все активные сеансы администраторов и <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, сменить пароли для административных учётных записей и VPN, особенно на устройствах с доступом из интернета, а затем включить двухфакторную защиту для всех администраторов и пользователей VPN.
Fortinet советует обновить FortiGate до актуальных выпусков веток 7.4, 7.6 или 8.0. Новые версии поддерживают PBKDF2 для хеширования паролей администраторов. Компания также рекомендует удалить устаревшие параметры хранения паролей и сверить настройки с заведомо безопасной конфигурацией.
Администраторам предлагают проверить список пользователей межсетевого экрана и VPN, а также поискать неизвестные учётные записи, включая <code>forticloud</code>, <code>fortiuser</code>, <code>fortinet-support</code> и <code>fortinet-tech-support</code>. В журналах нужно искать входы администраторов с незнакомых IP-адресов, подозрительные аккаунты, несанкционированные изменения настроек и признаки перемещения злоумышленника по внутренней сети. В журналах контроллера домена стоит проверить необычные попытки доступа и создание новых учётных записей.
При несанкционированных изменениях конфигурации или других признаках компрометации Fortinet рекомендует считать устройство взломанным и начать восстановление. Компания просит проверить создание новых VPN-пользователей, неожиданные сбросы паролей и подключения к VPN из непривычных мест. При интеграции с AD или LDAP учётную запись интеграции следует считать скомпрометированной и отслеживать её использование в других системах. Внешний доступ к панели управления FortiGate рекомендуют ограничить доверенными адресами, настроить локальные правила доступа или полностью отключить администрирование через интернет.
18 июня SecurityLab сообщал о найденной базе с логинами и паролями от FortiGate. Hudson Rock заявил о признаках компрометации 73 932 адресов межсетевых экранов в 194 странах, а исследователь Боб Дьяченко обнаружил открытый сервер с именами пользователей, адресами электронной почты и паролями в открытом виде. В опубликованном заявлении Fortinet не назвала количество потенциально затронутых систем.
Fortinet сообщила, что выявила потенциально скомпрометированные системы и связывается с затронутыми клиентами после сообщений о кампании FortiBleed, пишет компания . По предварительной оценке производителя, злоумышленники повторно используют учётные данные из прошлых инцидентов FG-IR-26-060 и FG-IR-25-647, а также подбирают слабые пароли.
Целями становятся устройства Fortinet со слабой парольной политикой и без двухфакторной защиты. Fortinet подчёркивает, что FortiBleed не использует новую уязвимость в продуктах компании и не связан с недавно опубликованными уведомлениями безопасности. Производитель начал расследование вместе с профильными государственными органами.
Владельцам затронутых FortiGate рекомендуют немедленно завершить все активные сеансы администраторов и <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, сменить пароли для административных учётных записей и VPN, особенно на устройствах с доступом из интернета, а затем включить двухфакторную защиту для всех администраторов и пользователей VPN.
Fortinet советует обновить FortiGate до актуальных выпусков веток 7.4, 7.6 или 8.0. Новые версии поддерживают PBKDF2 для хеширования паролей администраторов. Компания также рекомендует удалить устаревшие параметры хранения паролей и сверить настройки с заведомо безопасной конфигурацией.
Администраторам предлагают проверить список пользователей межсетевого экрана и VPN, а также поискать неизвестные учётные записи, включая <code>forticloud</code>, <code>fortiuser</code>, <code>fortinet-support</code> и <code>fortinet-tech-support</code>. В журналах нужно искать входы администраторов с незнакомых IP-адресов, подозрительные аккаунты, несанкционированные изменения настроек и признаки перемещения злоумышленника по внутренней сети. В журналах контроллера домена стоит проверить необычные попытки доступа и создание новых учётных записей.
При несанкционированных изменениях конфигурации или других признаках компрометации Fortinet рекомендует считать устройство взломанным и начать восстановление. Компания просит проверить создание новых VPN-пользователей, неожиданные сбросы паролей и подключения к VPN из непривычных мест. При интеграции с AD или LDAP учётную запись интеграции следует считать скомпрометированной и отслеживать её использование в других системах. Внешний доступ к панели управления FortiGate рекомендуют ограничить доверенными адресами, настроить локальные правила доступа или полностью отключить администрирование через интернет.
18 июня SecurityLab сообщал о найденной базе с логинами и паролями от FortiGate. Hudson Rock заявил о признаках компрометации 73 932 адресов межсетевых экранов в 194 странах, а исследователь Боб Дьяченко обнаружил открытый сервер с именами пользователей, адресами электронной почты и паролями в открытом виде. В опубликованном заявлении Fortinet не назвала количество потенциально затронутых систем.
- Источник новости
- www.securitylab.ru
