Dünyanın ən böyük şirkətlərinin şəbəkə qapıları sanki açıq qalıb. Fortinet firewall-larına bağlı nəhəng sızma Oracle, Chevron, Lenovo, Federal Express, NATO ilə əlaqəli müdafiə podratçısı və hətta Fortinet-in özünü də risk zonasına salıb.
Tədqiqatçıların açıqlamasına görə, rusdilli hücumçular minlərlə təşkilatın Fortinet cihazlarına aid işlək giriş məlumatlarını toplayıb və onların bir hissəsi açıq mətn formatında internetə sızıb.
74 min cihaz, 194 ölkə: miqyas düşündüyünüzdən də böyükdür
SecurityDiscovery.com-un rəhbəri Bob Diachenko bildirib ki, o, hücumçuların command-and-control serverinə və digər infrastrukturuna çıxış əldə etdikdən sonra bu məlumatları aşkarlayıb.
Sızan məlumatlar təkcə login və parollardan ibarət olmayıb. Hər zərərçəkmiş təşkilatın fəaliyyət sahəsi, gəliri və əməkdaş sayı kimi biznes məlumatları da bazada yer alıb.
Diachenko-nun sözlərinə görə, 194 ölkədə 21 mindən çox IP ünvanına bağlı təxminən 74 min Fortinet cihazı komprometasiya edilib.
Müstəqil təhlükəsizlik tədqiqatçısı Kevin Beaumont isə çərşənbə səhərinə olan məlumata görə, komprometasiya edilmiş cihazların demək olar ki, hamısının hələ də onlayn olduğunu bildirib.
Parollar sadəcə oğurlanmayıb — şəbəkələrin içinə yol açılıb
Ən təhlükəli məqam odur ki, hücumçular firewall səviyyəsində dayanmayıblar. Bir çox halda onlar təşkilatların Radius serverləri və Microsoft Active Directory kimi mərkəzləşdirilmiş autentifikasiya sistemlərinə də daxil olublar.
Bu isə adi parol sızmasından daha ciddi problemdir. Belə giriş hücumçulara şirkət daxilində yan hərəkət etməyə, başqa sistemlərə keçməyə və daha dərin səviyyədə nəzarət qurmağa imkan verə bilər.
Shodan üzərindən aparılan yoxlamalara əsasən, komprometasiya edilmiş cihazların sayı internetə açıq Fortinet firewall-larının təxminən yarısına bərabər ola bilər.
Hücum necə işləyib: 25 min thread və 45 GPU-luq parol sındırma sistemi
Hudson Rock-un analizinə görə, hücumçular əvvəlcə interneti kütləvi şəkildə skan edərək FortiGate remote login endpoint-lərini tapıblar.
Daha sonra xüsusi hazırlanmış binary vasitəsilə 25 min thread işlədərək yüz minlərlə endpoint-ə minlərlə login-parol kombinasiyası göndəriblər. Uğurlu girişlər onlara təşkilatın şəbəkəsi daxilində sanki dinləmə nöqtəsi verib.
Tədqiqatçılar bildirirlər ki, hücumçular SSL VPN autentifikasiya hash-lərini ələ keçirib və onları Hashtopolis ilə idarə olunan 45 GPU-luq xüsusi klasterdə sındırmağa çalışıblar.
Fortinet istifadəçiləri nə etməlidir?
Diachenko, Beaumont və Hudson Rock Fortinet istifadəçilərinə şəbəkələrini dərhal yoxlamağı tövsiyə edir. Xüsusilə FortiGate cihazlarında şübhəli girişlər, naməlum sessiyalar və Active Directory üzərində qeyri-adi aktivlik araşdırılmalıdır.
Parolların dəyişdirilməsi təkbaşına kifayət etməyə bilər. Əgər hücumçular artıq daxili autentifikasiya sistemlərinə çıxış əldə ediblərsə, tokenlər, VPN girişləri, admin hesabları və audit logları da yoxlanmalıdır.
Nəticə: Bu hadisə göstərir ki, bir firewall hesabının ələ keçirilməsi bütün korporativ şəbəkənin açarına çevrilə bilər.