Zapora, która odczytywała własny ruch

Szczegółem, który oddziela FortiBleed od rutynowego ostrzeżenia, jest to, skąd wzięły się poświadczenia. Dedykowane narzędzie, które badacze nazywają FortigateSniffer, nadużywa wbudowanego w FortiOS polecenia diagnostyki pakietów, tej samej funkcji, której administrator używa do rozwiązywania problemów, aby biernie przechwytywać ruch uwierzytelniania w około dwóch tuzinach protokołów. Nie jest potrzebna żadna nowa podatność. Urządzenie sprzedane po to, by strzec obwodu, stało się narzędziem, które odczytywało przechodzące przez nie logowania.

SOCRadar śledził operację aż na teren ransomware po tym, jak znalazł pojedynczego operatora zalogowanego jednocześnie do paneli negocjacyjnych zarówno INC Ransom, jak i Lynx. CISA wezwała organizacje do wzmocnienia urządzeń Fortinet 18 czerwca, po pierwszych doniesieniach o ujawnieniu poświadczeń, a własny zespół bezpieczeństwa produktów Fortinet opublikował analizę naruszenia.

Liczby stojące za kampanią

Wczesne doniesienia Recorded Future i Help Net Security szacowały ujawnienie na blisko 74 000 systemów FortiGate. Późniejsza analiza SOCRadar poszerzyła obraz do 430 000 zaatakowanych urządzeń, mniej więcej połowy całego sprzętu Fortinet dostępnego z internetu, oraz 86 644 zweryfikowanych działających poświadczeń obejmujących 194 kraje. Zestawienie serwerów FortiBleed z osobnym, powiązanym z INC otwartym katalogiem ujawniło te same organizacje ofiar śledzone w obu zbiorach danych, sygnaturę wspólnego łańcucha dostaw.

Co najmniej 12 potwierdzonych wdrożeń ransomware sięga już bezpośrednio dostępu FortiBleed, przy setkach zaszyfrowanych punktów końcowych. INC Ransom działa od lipca 2023 i przyznał się do ponad 800 ofiar, co czyni go jedną z najpłodniejszych operacji ransomware jako usługa według potwierdzonej liczby. Żniwo poświadczeń nie jest ostrzeżeniem przed tym, co może się stać; jest frontem ataków, które już się wydarzyły.

Łatanie tym razem nie jest rozwiązaniem

Ponieważ wejściem jest ważne poświadczenie, a nie niezałatana luka, zwykły odruch zawodzi. FortiGate z najnowszym oprogramowaniem układowym i ujawnionym kontem VPN pozostaje otwartymi drzwiami i pozostaje otwarty, dopóki to konto nie zostanie zrotowane. Wymagane działania to rotacja poświadczeń na każdym koncie zapory i VPN, uwierzytelnianie wieloskładnikowe wymuszone na dostępie zdalnym oraz diagnostyczne przechwytywanie pakietów wyłączone lub ściśle monitorowane tam, gdzie nie jest potrzebne.

Bezpiecznym założeniem dla każdego urządzenia z ujawnionego zbioru jest to, że jego poświadczenia wyciekły i należy je traktować jako naruszone, dopóki nie zostanie udowodnione inaczej. To przekształca pracę z cyklu łatania w porządkowanie tożsamości, które jest wolniejsze, mniej satysfakcjonujące i jako jedyne naprawdę zamyka drzwi.

Zgodnie z NIS2 zegar należy do ciebie

Dla europejskich operatorów krawędź regulacyjna jest ostra. Zgodnie z NIS2 incydent, który dociera do twojej sieci przez urządzenie brzegowe strony trzeciej, jest twoim zdarzeniem podlegającym zgłoszeniu, z wczesnym ostrzeżeniem należnym w ciągu 24 godzin i pełniejszym powiadomieniem w ciągu 72. Firmy finansowe niosą równoległe obowiązki wynikające z DORA. Odpowiedzialność nie spoczywa na Fortinet ani na grupie ransomware; spoczywa na organizacji, która została naruszona.

Wskaźnikiem, który teraz się liczy, nie jest to, czy zapora jest załatana, lecz jak szybko można zrotować każde poświadczenie na niej. Zespoły, które już zakładają, że ich logowania brzegowe wyciekły, i potrafią na żądanie wykazać rotację oraz MFA, to te, które nie przeczytają własnej nazwy w następnym wpisie ransomware.