Αν έχετε ένα Fortinet firewall, σταματήστε ότι κάνετε και αλλάξτε τους κωδικούς πρόσβασής σας. Εισβολείς απέκτησαν με κάποιο τρόπο πρόσβαση σε περίπου 75.000 συσκευές Fortinet firewall και έκλεψαν διαπιστευτήρια που ανήκουν σε μεγάλες εταιρείες σε 194 χώρες.
Ερευνητές ασφαλείας αναφέρουν ότι έχουν επαληθεύσει τα δεδομένα και οι παραβιασμένοι κωδικοί πρόσβασης της FortiGate ανήκουν σε λογαριασμούς που εκτείνονται σε πολυεθνικές εταιρείες, όπως οι FoxConn, Samsung, Comcast, Siemens, Lenovo, FedEx, PxW, Accenture, Oracle και πολλές άλλες.
Ελέγξτε αν ο οργανισμός σας συμπεριλαμβάνεται στη λίστα των επηρεαζόμενων τομέων – και εναλλάξτε αμέσως όλους τους κωδικούς πρόσβασης που σχετίζονται με το VPN και τις διαχειριστικές διεπαφές της Fortinet.
Βεβαιωθείτε ότι είναι ενεργοποιημένος και ο έλεγχος ταυτότητας πολλαπλών παραγόντων, καθώς αυτός ο τύπος μαζικής διαρροής διαπιστευτηρίων μπορεί να οδηγήσει σε πολύ σοβαρές καταστάσεις, δίνοντας στους εισβολείς πλήρη, απομακρυσμένη πρόσβαση όχι μόνο στο τείχος προστασίας αλλά και σε ολόκληρο το εταιρικό δίκτυο.
Ο Hudson Rock, ο οποίος ανέλυσε τα δεδομένα, δήλωσε ότι η διαρροή επηρεάζει 21.632 μοναδικούς τομείς.
“Η κλίμακα αυτής της παραβίασης αγγίζει σχεδόν κάθε τομέα της παγκόσμιας οικονομίας, χωρίς να εξαιρείται η βιομηχανία. Οι επιτιθέμενοι δημιούργησαν μια επαληθευμένη βάση δεδομένων με λειτουργικά διαπιστευτήρια για μερικές από τις μεγαλύτερες επιχειρήσεις στον πλανήτη”, ανέφερε στο blog του Infostealer.
Ο ερευνητής Volodymyr “Bob” Diachenko εντόπισε πρώτος τις εισβολές και τις απέδωσε σε μια ρωσόφωνη ομάδα.
“Παραλαμβάνουν έλεγχο ταυτότητας SSL VPN, σπάνε hashes σε ένα cluster 45 GPU που διαχειρίζεται μέσω του Hashtopolis και μεταβαίνουν σε εσωτερικά περιβάλλοντα Active Directory”, έγραψε στο LinkedIn. “Η επιχείρηση επεξεργάστηκε 1,16 δισεκατομμύρια προσπάθειες διαπιστευτηρίων εναντίον 320.777 στόχων FortiGate και 2,1 δισεκατομμύρια προσπάθειες εναντίον 163.650 διακομιστών MSSQL.”
Επιπλέον, σύμφωνα με τον Diachenko, οι εγκληματίες κατέλαβαν πλήρως τουλάχιστον τέσσερις οργανισμούς, συμπεριλαμβανομένου ενός Τούρκου εργολάβου άμυνας του ΝΑΤΟ, και σε αυτήν την περίπτωση, έκλεψαν απόρρητα αμυντικά έγγραφα.
Ο ερευνητής ασφαλείας Kevin Beaumont, ο οποίος επαλήθευσε επίσης τα κλεμμένα διαπιστευτήρια, ανέφερε
“Έχω συνεργαστεί με αρκετούς οργανισμούς που αναφέρονται και μπορώ να επιβεβαιώσω ότι τα ονόματα σύνδεσης και οι κωδικοί πρόσβασης είναι αληθινά.”
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
