Пользователям устройств Fortinet следует как можно скорее обновить пароли. Хакеры смогли проникнуть почти на 75 тысяч аппаратов и похитили авторизационные данные, принадлежащие крупным корпорациям из 194 стран. В ряде случаев корпоративные сети оказались под угрозой, пишет The Register.
Специалисты по кибербезопасности подтвердили подлинность данных и отмечают, что пароли к оборудованию FortiGate привязаны к учетным записям международных гигантов, таких как FoxConn, Samsung, Comcast, Siemens, Lenovo, FedEx, PxW, Accenture, Oracle и другие. Компаниям стоит проверить, не оказались ли их домены в перечне пострадавших, и немедленно заменить пароли, используемые для Fortinet VPN и интерфейсов управления. Также важно убедиться, что включена многофакторная аутентификация, так как подобная утечка способна открыть доступ не только к межсетевому экрану, но и ко всей корпоративной сети.
Согласно данным Hudson Rock, инцидент затронул 21 632 уникальных домена. Компания подчеркивает, что утечка охватывает практически все отрасли мировой экономики, а злоумышленники собрали базу актуальных учетных данных для ряда ведущих мировых корпораций. По оценкам Shodan, украденные данные относятся примерно к половине всех межсетевых экранов Fortinet, доступных в интернете. Причем большинство из них все еще находятся в сети, поэтому потенциальным жертвам лучше сменить пароли без промедления.
Источник изображения: Moritz Kindler/unspalsh.com
Как сообщает исследователь Volodymyr «Bob» Diachenko, который первым выявил следы атак, они, вероятно, связаны с некой «русскоязычной» группировкой. Он пояснил, что злоумышленники перехватывают аутентификацию SSL VPN, расшифровывают хеши с помощью кластера из 45 ускорителей через Hashtopolis, а затем проникают во внутренние среды Active Directory. В рамках операции было совершено 1,16 млрд попыток подбора учетных данных против 320 777 устройств FortiGate и еще 2,1 млрд попыток против 163 650 серверов Microsoft SQL Server.
Как отметил специалист, хакеры сумели полностью взломать как минимум четыре информационные системы различных организаций, среди которых оказался и турецкий оборонный подрядчик НАТО, откуда были выкрадены конфиденциальные оборонные материалы. Другой эксперт, Кевин Бомон (Kevin Beaumont), также изучивший украденные сведения, подтвердил их «достоверность», а также то, что логины и пароли являются реальными, причём оборудование многих пострадавших компаний использует относительно новые обновления безопасности.
Сама Fortinet сообщила, что опубликованные в «даркнете» данные относятся к более старым инцидентам и атакам методом подбора паролей. В компании полагают, что организации, придерживающиеся стандартных протоколов безопасности, включая регулярную смену учётных данных, подвергаются минимальному риску взлома. Журналисты связались с жертвами атаки, получившей название FortiBleed, и только Lenovo откликнулась, заявив о проведении расследования.
Источник:
