Um firewall que lia o próprio tráfego

O detalhe que separa o FortiBleed de um aviso de rotina é a origem das credenciais. Uma ferramenta feita à medida a que os investigadores chamam FortigateSniffer abusa do próprio comando de diagnóstico de pacotes integrado no FortiOS, a mesma função que um administrador usa para resolver problemas, para intercetar passivamente o tráfego de autenticação em cerca de duas dúzias de protocolos. Não é precisa qualquer vulnerabilidade nova. O dispositivo vendido para guardar o perímetro tornou-se o instrumento que lia os acessos que o atravessavam.

A SOCRadar seguiu a operação até ao terreno do ransomware depois de encontrar um único operador ligado ao mesmo tempo aos painéis de negociação do INC Ransom e do Lynx. A CISA instou as organizações a reforçar os dispositivos Fortinet a 18 de junho, após os primeiros relatos de exposição de credenciais, e a própria equipa de segurança de produto da Fortinet publicou uma análise do comprometimento.

Os números por trás da campanha

Os primeiros relatos da Recorded Future e da Help Net Security situavam a exposição perto de 74.000 sistemas FortiGate. Uma análise posterior da SOCRadar alargou o quadro a 430.000 dispositivos visados, cerca de metade de todo o hardware Fortinet exposto à internet, e 86.644 credenciais válidas verificadas espalhadas por 194 países. O cruzamento dos servidores FortiBleed com um diretório aberto separado ligado ao INC encontrou as mesmas organizações vítimas seguidas em ambos os conjuntos de dados, a assinatura de uma cadeia de fornecimento partilhada.

Pelo menos 12 implantações de ransomware confirmadas remontam já diretamente ao acesso do FortiBleed, com centenas de terminais cifrados. O INC Ransom está ativo desde julho de 2023 e reivindicou mais de 800 vítimas, o que o torna uma das operações de ransomware como serviço mais prolíficas por contagem confirmada. A colheita de credenciais não é um aviso do que poderia acontecer; é a frente de ataques que já aconteceram.

Corrigir não é a solução desta vez

Como a entrada é uma credencial válida e não uma falha sem correção, o reflexo habitual falha. Um FortiGate com o firmware mais recente e uma conta VPN exposta continua a ser uma porta aberta, e permanece aberta até essa conta ser rodada. As ações necessárias são a rotação de credenciais em cada conta de firewall e VPN, a autenticação multifator imposta no acesso remoto, e a captura de pacotes de diagnóstico desativada ou vigiada de perto onde não é necessária.

A suposição segura para qualquer dispositivo do conjunto exposto é que as suas credenciais vazaram e que deve ser tratado como comprometido até prova em contrário. Isso reformula o trabalho, de um ciclo de correções para uma limpeza de identidades, mais lenta, menos gratificante e a única coisa que de facto fecha a porta.

Ao abrigo da NIS2 o relógio é seu

Para os operadores europeus o gume regulatório é afiado. Ao abrigo da NIS2, um incidente que chega à sua rede através de um dispositivo de borda de terceiros é o seu evento notificável, com um alerta precoce devido em 24 horas e uma notificação mais completa em 72. As empresas financeiras carregam as obrigações paralelas da DORA. A responsabilidade não recai na Fortinet nem no grupo de ransomware; recai na organização que sofreu a violação.

O KPI que importa agora não é se o firewall está corrigido, mas com que rapidez cada credencial nele pode ser rodada. As equipas que já partem do princípio de que os seus acessos de borda vazaram, e conseguem provar rotação e MFA a pedido, são as que não lerão o seu próprio nome na próxima publicação de ransomware.