Een firewall die zijn eigen verkeer meelas
Het detail dat FortiBleed onderscheidt van een gewone waarschuwing is waar de inloggegevens vandaan kwamen. Een op maat gemaakt hulpmiddel dat de onderzoekers FortigateSniffer noemen misbruikt het in FortiOS ingebouwde pakketdiagnosecommando, dezelfde functie die een beheerder gebruikt om problemen op te lossen, om authenticatieverkeer over ongeveer twee dozijn protocollen passief te onderscheppen. Er is geen nieuwe kwetsbaarheid nodig. Het apparaat dat verkocht werd om de perimeter te bewaken werd het instrument dat de aanmeldingen meelas die het passeerden.
SOCRadar volgde de operatie tot in ransomware-gebied nadat een enkele operator tegelijk was ingelogd op de onderhandelingspanelen van zowel INC Ransom als Lynx. CISA drong er op 18 juni bij organisaties op aan om Fortinet-apparaten te verharden, na de eerste meldingen van blootgestelde inloggegevens, en het eigen productbeveiligingsteam van Fortinet publiceerde een analyse van de compromittering.
De cijfers achter de campagne
Vroege berichtgeving van Recorded Future en Help Net Security schatte de blootstelling op bijna 74.000 FortiGate-systemen. Latere analyse van SOCRadar verbreedde het beeld tot 430.000 aangevallen apparaten, ruwweg de helft van alle op internet zichtbare Fortinet-hardware, en 86.644 geverifieerde werkende inloggegevens verspreid over 194 landen. Het kruisen van de FortiBleed-servers met een aparte, aan INC gelinkte open directory vond dezelfde slachtofferorganisaties in beide datasets, de handtekening van een gedeelde toevoerketen.
Minstens 12 bevestigde ransomware-uitrollen zijn al direct te herleiden tot de FortiBleed-toegang, met honderden versleutelde endpoints. INC Ransom is actief sinds juli 2023 en heeft meer dan 800 slachtoffers geclaimd, wat het een van de productiefste ransomware-as-a-service-operaties naar bevestigd aantal maakt. De oogst van inloggegevens is geen waarschuwing voor wat zou kunnen gebeuren; het is de voorkant van aanvallen die al hebben plaatsgevonden.
Patchen is deze keer niet de oplossing
Omdat de ingang een geldig inloggegeven is en geen ongepatcht lek, faalt de gebruikelijke reflex. Een FortiGate met de nieuwste firmware en een blootgesteld VPN-account blijft een open deur, en die blijft open totdat dat account wordt geroteerd. De vereiste acties zijn het roteren van inloggegevens op elk firewall- en VPN-account, meervoudige authenticatie afgedwongen op toegang op afstand, en de diagnostische pakketopname uitgeschakeld of nauwlettend bewaakt waar die niet nodig is.
De veilige aanname voor elk apparaat in de blootgestelde verzameling is dat zijn inloggegevens zijn gelekt en dat het als gecompromitteerd moet worden behandeld tot het tegendeel is bewezen. Dat herschikt het werk van een patchcyclus naar een identiteitsopschoning, die trager is, minder bevredigend, en het enige dat de deur echt sluit.
Onder NIS2 is de klok van u
Voor Europese operatoren is de regelgevende rand scherp. Onder NIS2 is een incident dat via een randapparaat van een derde partij uw netwerk bereikt uw meldplichtige gebeurtenis, met een vroegtijdige waarschuwing binnen 24 uur en een vollediger melding binnen 72. Financiele bedrijven dragen de parallelle verplichtingen van DORA. De aansprakelijkheid ligt niet bij Fortinet of bij de ransomwarebende; ze ligt bij de organisatie die de inbreuk onderging.
De KPI die er nu toe doet is niet of de firewall gepatcht is, maar hoe snel elk inloggegeven erop kan worden geroteerd. Teams die er al van uitgaan dat hun randaanmeldingen zijn gelekt, en rotatie en MFA op verzoek kunnen aantonen, zijn degenen die hun eigen naam niet zullen lezen in de volgende ransomware-post.
Lees hierna: Een vervalst token opent elke pc die de tool beheert | Een AI voerde een hele ransomware-aanval alleen uit



