Хакеры получили полный контроль над 15 000 устройств FortiGate

leer en español

Хакеры получили полный контроль над 15 000 устройств FortiGate

Бизнес десяти стран принимает экстренные меры.

image

15 января исследователь безопасности Кевин Бомонт сообщил об утечке конфигурационных файлов и информации VPN для 15 000 устройств FortiGate. Данные, содержащие имена пользователей, пароли (в том числе в открытом виде), сертификаты управления устройствами и правила настройки межсетевого экрана, были выложены в даркнете.

Согласно отчету компании CloudSEK, за утечкой стоит новая хакерская группа Belsen Group. Затронутые устройства в основном работают на версиях FortiOS 7.0.x и 7.2.x. CloudSEK и Бомонт пришли к выводу, что утечка связана с эксплуатацией Zero-Day CVE-2022-40684 (оценка CVSS: 9.8), обнаруженной в 2022 году. Ошибка позволяла хакерам обходить аутентификацию через специально созданные HTTP или HTTPS-запросы.

Belsen Group действует на киберпреступной арене уже несколько лет. По мнению CloudSEK, группа могла участвовать в эксплуатации нулевого дня ещё в 2022 году. Большинство данных было собрано в октябре 2022 года, когда уязвимость ещё не была классифицирована. Географически утечка затронула США, Великобританию, Польшу и Бельгию — в этих странах более 20 организаций оказались скомпрометированы. Франция, Испания, Малайзия, Нидерланды, Таиланд и Саудовская Аравия также находятся в списке пострадавших.

Бомонт подтвердил подлинность утечки, сопоставив IP-адреса и конфигурации устройств через Shodan. Последствия атаки включают:

  • утечку конфиденциальных учетных данных;
  • раскрытие конфигураций межсетевых экранов, что упрощает обход защиты;
  • компрометацию цифровых сертификатов, что позволяет получить несанкционированный доступ к устройствам.

Организациям рекомендуется принять следующие меры:

  1. Сменить все учетные данные, особенно те, что фигурируют в утечке;
  2. Проверить конфигурации устройств на наличие уязвимостей и усилить контроль доступа;
  3. Отозвать и заменить скомпрометированные цифровые сертификаты;
  4. Провести аудит и расследование инцидентов , чтобы выявить возможные последствия компрометации в 2022 году.

Тем временем, Fortinet недавно раскрыла ещё одну уязвимость нулевого дня — CVE-2024-55591 (оценка CVSS: 9.8), которая затрагивает устройства FortiGate на FortiOS версий 7.0.0–7.0.16 и 7.2.0–7.2.12. Хотя уязвимость не связана напрямую с атакой Belsen Group, эксперты предупреждают, что злоумышленники могут использовать схожие методы.

Параллельно компания Arctic Wolf выявила масштабную кампанию эксплуатации FortiGate, начавшуюся в декабре 2024 года. Связь с утечкой данных пока не установлена. Fortinet и Arctic Wolf воздержались от комментариев по ситуации.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь