Пользователям межсетевых экранов Fortinet необходимо срочно обновить свои пароли. Хакеры смогли проникнуть почти на 75 тысяч устройств и похитили авторизационные данные, принадлежащие крупным корпорациям из 194 стран, а в ряде случаев корпоративные сети оказались взломаны, сообщает The Register.
Специалисты по кибербезопасности подтвердили подлинность данных и отмечают, что пароли к оборудованию FortiGate относятся к учетным записям международных компаний, таких как FoxConn, Samsung, Comcast, Siemens, Lenovo, FedEx, PxW, Accenture, Oracle и других. Организациям советуют проверить, не оказались ли их домены в перечне пострадавших от атаки, и немедленно изменить пароли, используемые для систем Fortinet VPN и интерфейсов управления. Также важно убедиться, что включена многофакторная аутентификация, так как подобная утечка может открыть доступ не только к межсетевому экрану, но и ко всей корпоративной сети.
Согласно данным Hudson Rock, утечка затронула 21 632 уникальных домена. Компания утверждает, что инцидент коснулся практически всех секторов мировой экономики, а злоумышленники создали базу актуальных учетных данных для ряда крупнейших мировых корпораций. По оценкам Shodan, украденные данные относятся примерно к половине всех межсетевых экранов Fortinet, доступных в интернете. Более того, большинство из них все еще остаются в сети, поэтому потенциальным жертвам стоит сменить пароли как можно скорее.
Источник изображения: Moritz Kindler/unspalsh.com
Исследователь Volodymyr «Bob» Diachenko, первым обнаруживший следы атак, считает, что они, вероятно, связаны с некой «русскоязычной» группировкой. Он рассказал, что злоумышленники перехватывают аутентификацию SSL VPN, взламывают хеши с помощью кластера из 45 ускорителей через Hashtopolis, а затем получают доступ к внутренним средам Active Directory. В ходе операции было предпринято 1,16 млрд попыток подбора учетных данных для 320 777 устройств FortiGate и еще 2,1 млрд попыток против 163 650 серверов Microsoft SQL Server.
Как отметил эксперт, хакеры сумели полностью взломать как минимум четыре информационные системы организаций, среди которых оказался турецкий оборонный подрядчик НАТО, и выкрали секретные документы оборонного значения. Другой специалист, Кевин Бомон (Kevin Beaumont), также изучивший украденные материалы, подтвердил их «подлинность»: логины и пароли являются настоящими, а оборудование многих пострадавших компаний использует достаточно актуальные обновления безопасности.
Сама Fortinet сообщила, что данные, опубликованные в «даркнете», связаны с более старыми инцидентами и атаками методом подбора паролей. В компании считают, что организации, придерживающиеся стандартных протоколов безопасности, включая регулярную смену учётных данных, подвергаются минимальному риску взлома. Журналисты связались с жертвами атаки под названием FortiBleed, и единственной откликнувшейся оказалась Lenovo, которая заявила о проведении расследования.
Источник:
