Завершить сессии, сменить пароли, включить 2FA. Что Fortinet советует сделать владельцам FortiGate прямо сейчас

Fortinet сообщила, что выявила потенциально скомпрометированные системы и связывается с затронутыми клиентами после сообщений о кампании FortiBleed, пишет компания. По предварительной оценке производителя, злоумышленники повторно используют учётные данные из прошлых инцидентов FG-IR-26-060 и FG-IR-25-647, а также подбирают слабые пароли.

Целями становятся устройства Fortinet со слабой парольной политикой и без двухфакторной защиты. Fortinet подчёркивает, что FortiBleed не использует новую уязвимость в продуктах компании и не связан с недавно опубликованными уведомлениями безопасности. Производитель начал расследование вместе с профильными государственными органами.

Владельцам затронутых FortiGate рекомендуют немедленно завершить все активные сеансы администраторов и VPN, сменить пароли для административных учётных записей и VPN, особенно на устройствах с доступом из интернета, а затем включить двухфакторную защиту для всех администраторов и пользователей VPN.

Fortinet советует обновить FortiGate до актуальных выпусков веток 7.4, 7.6 или 8.0. Новые версии поддерживают PBKDF2 для хеширования паролей администраторов. Компания также рекомендует удалить устаревшие параметры хранения паролей и сверить настройки с заведомо безопасной конфигурацией.

Администраторам предлагают проверить список пользователей межсетевого экрана и VPN, а также поискать неизвестные учётные записи, включая forticloud, fortiuser, fortinet-support и fortinet-tech-support. В журналах нужно искать входы администраторов с незнакомых IP-адресов, подозрительные аккаунты, несанкционированные изменения настроек и признаки перемещения злоумышленника по внутренней сети. В журналах контроллера домена стоит проверить необычные попытки доступа и создание новых учётных записей.

При несанкционированных изменениях конфигурации или других признаках компрометации Fortinet рекомендует считать устройство взломанным и начать восстановление. Компания просит проверить создание новых VPN-пользователей, неожиданные сбросы паролей и подключения к VPN из непривычных мест. При интеграции с AD или LDAP учётную запись интеграции следует считать скомпрометированной и отслеживать её использование в других системах. Внешний доступ к панели управления FortiGate рекомендуют ограничить доверенными адресами, настроить локальные правила доступа или полностью отключить администрирование через интернет.

18 июня SecurityLab сообщал о найденной базе с логинами и паролями от FortiGate. Hudson Rock заявил о признаках компрометации 73 932 адресов межсетевых экранов в 194 странах, а исследователь Боб Дьяченко обнаружил открытый сервер с именами пользователей, адресами электронной почты и паролями в открытом виде. В опубликованном заявлении Fortinet не назвала количество потенциально затронутых систем.