En firewall der læste sin egen trafik

Detaljen, der adskiller FortiBleed fra en rutinemæssig advarsel, er, hvor loginoplysningerne kom fra. Et skræddersyet værktøj, som forskerne kalder FortigateSniffer, misbruger FortiOS egen indbyggede pakkediagnosekommando, den samme funktion, som en administrator bruger til fejlfinding, til passivt at opsnappe autentificeringstrafik på tværs af omkring to dusin protokoller. Ingen ny sårbarhed er nødvendig. Enheden, der blev solgt til at vogte perimeteren, blev det instrument, der læste de logins, der passerede den.

SOCRadar sporede operationen ind i ransomware-territorium efter at have fundet en enkelt operatør logget ind i forhandlingspanelerne hos både INC Ransom og Lynx på samme tid. CISA opfordrede organisationer til at hærde Fortinet-enheder den 18. juni efter de første rapporter om eksponerede loginoplysninger, og Fortinets eget produktsikkerhedshold offentliggjorde en analyse af kompromitteringen.

Tallene bag kampagnen

Tidlige rapporter fra Recorded Future og Help Net Security satte eksponeringen nær 74.000 FortiGate-systemer. Senere analyse fra SOCRadar udvidede billedet til 430.000 ramte enheder, omtrent halvdelen af al internetvendt Fortinet-hardware, og 86.644 verificerede fungerende loginoplysninger på tværs af 194 lande. En krydsreference af FortiBleed-serverne mod et separat INC-tilknyttet åbent katalog fandt de samme offerorganisationer sporet i begge datasæt, signaturen på en delt forsyningskæde.

Mindst 12 bekræftede ransomware-udrulninger kan allerede spores direkte til FortiBleed-adgangen, med hundredvis af krypterede endepunkter. INC Ransom har været aktiv siden juli 2023 og har påtaget sig mere end 800 ofre, hvilket gør den til en af de mest produktive ransomware-as-a-service-operationer efter bekræftet antal. Høsten af loginoplysninger er ikke en advarsel om, hvad der kunne ske; den er forenden af angreb, der allerede er sket.

Patching er ikke løsningen denne gang

Fordi indgangen er en gyldig legitimation og ikke en upatchet fejl, svigter den sædvanlige refleks. En FortiGate med den nyeste firmware og en eksponeret VPN-konto er stadig en åben dør, og den forbliver åben, indtil den konto roteres. De nødvendige handlinger er rotation af loginoplysninger på hver firewall- og VPN-konto, multifaktorgodkendelse håndhævet på fjernadgang, og den diagnostiske pakkeopsamling deaktiveret eller tæt overvåget, hvor den ikke er nødvendig.

Den sikre antagelse for enhver enhed i det eksponerede sæt er, at dens loginoplysninger er lækket, og at den bør behandles som kompromitteret, indtil det modsatte er bevist. Det omformer arbejdet fra en patchcyklus til en identitetsoprydning, som er langsommere, mindre tilfredsstillende og det eneste, der faktisk lukker døren.

Under NIS2 er uret dit

For europæiske operatører er den regulatoriske kant skarp. Under NIS2 er en hændelse, der når dit netværk gennem en tredjeparts kantenhed, din anmeldelsespligtige begivenhed, med en tidlig varsling inden 24 timer og en mere fyldig underretning inden 72. Finansielle virksomheder bærer de parallelle forpligtelser under DORA. Ansvaret ligger ikke hos Fortinet eller hos ransomware-banden; det ligger hos den organisation, der blev ramt.

Den KPI, der betyder noget nu, er ikke, om firewallen er patchet, men hvor hurtigt hver legitimation på den kan roteres. Hold, der allerede antager, at deres kantlogins er lækket, og som kan bevise rotation og MFA på forlangende, er dem, der ikke vil læse deres eget navn i det næste ransomware-opslag.