Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

FortiBleed: массовая кража учетных данных FortiGate и SSL VPN

16
3 мин
FortiBleed — это крупная кампания по компрометации учетных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN, доступные из интернета. По данным отчета, речь идет не об уязвимости программного обеспечения и не об zero-day exploit, а о результате целенаправленного накопления базы данных с использованием повторно примененных учетных данных, атак brute force и офлайн-взлома хешей на уже скомпрометированных устройствах. Авторы отчета описывают следы злоумышленников как набор скриптов и инструментов, распределенных по нескольким операционным слоям. Такой подход указывает на системную, многоэтапную кампанию, которая выходила далеко за пределы отдельного инцидента. В отчете отдельно отмечается, что атрибуция по регистрационным email-лицензий FortiGuard затруднена: многие высокоуровневые учетные данные связаны не с самими корпорациями, а с подрядчиками или дочерними компаниями. Операционный набор инструментов свидетельствует о том, что кампания не ограничивалась только
Оглавление

FortiBleed — это крупная кампания по компрометации учетных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN, доступные из интернета. По данным отчета, речь идет не об уязвимости программного обеспечения и не об zero-day exploit, а о результате целенаправленного накопления базы данных с использованием повторно примененных учетных данных, атак brute force и офлайн-взлома хешей на уже скомпрометированных устройствах.

Два уровня атаки

Авторы отчета описывают следы злоумышленников как набор скриптов и инструментов, распределенных по нескольким операционным слоям. Такой подход указывает на системную, многоэтапную кампанию, которая выходила далеко за пределы отдельного инцидента.

  • Layer 1 — учетные данные, извлеченные из экспортов конфигураций устройств через открытые интерфейсы управления. В них обнаружены как устаревшие хеши формата salted-SHA256, так и более новые хеши формата PBKDF2, позволяющие идентифицировать администраторов межсетевых экранов.
  • Layer 2 — более продвинутые техники захвата учетных данных, включая данные Kerberos pre-authentication, полученные через прослушивание сетевого трафика после lateral movement. Это, в частности, раскрывало внутренние доменные имена Active Directory из инфраструктуры жертвы.

В отчете отдельно отмечается, что атрибуция по регистрационным email-лицензий FortiGuard затруднена: многие высокоуровневые учетные данные связаны не с самими корпорациями, а с подрядчиками или дочерними компаниями.

Инструменты, выходящие за пределы firewall

Операционный набор инструментов свидетельствует о том, что кампания не ограничивалась только проникновением в межсетевой экран. Среди упомянутых средств:

  • ad_enum.py — для перечисления объектов Active Directory через LDAP;
  • spray_admin.sh — для выполнения password spraying против внутренних domain controllers.

По оценке исследователей, заявленная мощность взлома была связана не с выделенным кластером, а с относительно скромной конфигурацией арендованных GPU-инстансов. Это может означать, что реальные ресурсы кампании были недооценены.

targets_300M_plus.txt и признаки реального доступа

Особое внимание в отчете привлекает набор данных targets_300M_plus.txt, который ранжирует SSH- и VPN-конечные точки по уровню доходов. Это, по мнению авторов, подтверждает, что злоумышленники располагали именно доступом, а не просто списками скомпрометированных паролей.

При этом происхождение атакующих определить точно сложно. В инструментах обнаружены лингвистические признаки, указывающие на Russian influence, однако множество именованных паролей также может свидетельствовать о связях с Persian регионами.

Масштаб компрометации

Согласно отчету, наибольшее число затронутых устройств зафиксировано в India, далее следуют United States и Taiwan. При этом заявленные около 21 000 скомпрометированных доменов не отражают полностью реальный масштаб: большинство из них относятся к внутренним именам сетей, которые не могут быть отслежены извне.

Смешение публичных и не маршрутизируемых доменных записей указывает на кампанию широкого охвата, которая без разбора сканировала экспонированные продукты Fortinet, не имея конкретной цели.

Что рекомендуют организациям

Учитывая сложность операции, исследователи советуют организациям с открытыми интерфейсами управления FortiOS считать свои учетные данные скомпрометированными. В числе ключевых мер реагирования названы следующие:

  • исключение публичного доступа к интерфейсам управления;
  • ротация учетных данных администраторов и VPN;
  • включение многофакторной аутентификации;
  • обновление устройств до последней версии FortiOS;
  • аудит на наличие backdoor accounts и необычных шаблонов входа;
  • замена устройств при наличии явных признаков компрометации.

Вывод: FortiBleed демонстрирует, что даже без громкого zero-day exploit злоумышленники способны построить масштабную и многоуровневую кампанию, опираясь на повторное использование учетных данных, офлайн-взлом и расширение доступа за пределы первоначально скомпрометированного perimeter.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "FortiBleed: массовая кража учетных данных FortiGate и SSL VPN".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.