Установена е атака към Fortinet Firewall устройства, насочена към достъпни през интернет Fortinet устройства в правителствени и частни организации. Атакуващите използват вече компрометирани акаунти от стари изтекли данни. Установено е, че атаката е насочена към администраторските и SSL VPN интерфейси.
Киберпрестъпниците са извършили bruteforce атака със списък с над 1 млрд. акаунта срещу повече от 320 000 Fortinet устройства.
Твърди се, че киберпрестъпниците са прихванали хешове за SSL VPN удостоверяване, и са ги разбили, използвайки клъстер от 45 графични процесора, управляван чрез Hashtopolis. Установено е, че след като са проникнали в периметъра на дадена организация, следващата стъпка е да се компрометира domain controller-а.
В случай, че използвате Fortinet устройства може да проверите дали сте станали жертва на атаката като проверите на следния линк: https://www.hudsonrock.com/fortinet
CERT България Ви препоръчва:
- Прегледайте логовете за VPN, Firewall, автентификация и на домейн контролера.
- Активирайте MFA;
- Забранете достъпа до административния панел през интернет.
- Сменете паролите за VPN и администраторски достъп;
- Прегледайте дали не са създадени нови акаунти.
За повече информация:
https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/