FortiBleed атакует Fortinet: миллиарды попыток входа и взломы VPN
Кампания FortiBleed стала одной из наиболее заметных продолжающихся атак на инфраструктуру Fortinet. По данным отчета, под ударом оказались интернет-ориентированные межсетевые экраны и VPN-шлюзы в более чем 190 странах, а число скомпрометированных устройств исчисляется десятками тысяч.
Злоумышленники используют сочетание reused credentials, атак brute force и, вероятно, эксплуатации уязвимостей в продуктах Fortinet. При этом основную роль, по предварительным выводам, играют ранее скомпрометированные учетные данные и устройства без MFA.
Как работает схема атаки
Атака начинается с масштабного сканирования интернета для выявления экспонированных устройств FortiGate и связанных с ними интерфейсов SSL VPN. После этого злоумышленники запускают автоматизированные попытки аутентификации, используя крупные массивы учетных данных, утекших в предыдущих инцидентах безопасности или в результате заражения malware.
На этой стадии, по оценке исследователей, фиксируются миллиарды попыток входа. Если вход по украденным учетным данным не удается, атакующие переходят к brute force либо пробуют использовать известные уязвимости, включая недавно исправленные.
- массовое сканирование открытых устройств Fortinet;
- попытки входа с использованием утекших учетных данных;
- brute force против систем без MFA;
- возможная эксплуатация уязвимостей Fortinet;
- перехват данных аутентификации SSL VPN для последующего offline-взлома.
Какие продукты находятся под риском
Основной целью кампании названы FortiGate и интерфейсы SSL VPN, доступные из интернета. Однако исследователи обращают внимание и на другие продукты безопасности Fortinet, где выявлены критические уязвимости.
Речь идет, в частности, о:
- FortiSandbox;
- FortiClient EMS.
В этих продуктах, по данным отчета, активно эксплуатируются уязвимости, связанные с command injection, authentication bypass и remote code execution. При этом прямая связь этих инцидентов с кампанией FortiBleed пока не подтверждена.
Что происходит после первоначального доступа
После успешной компрометации устройства используются как точки наблюдения внутри корпоративной сети. Это позволяет злоумышленникам анализировать сетевой трафик, собирать дополнительные учетные данные и готовить дальнейшее продвижение по инфраструктуре.
Отдельно отмечается опасная тактика перехвата данных аутентификации SSL VPN во время сеансов входа. Такие данные затем могут быть взломаны offline с использованием систем, ускоренных графическими процессорами.
На следующем этапе атакующие закрепляются в интерфейсах управления VPN и межсетевыми экранами. Это открывает им путь к внутренним системам, включая:
- Microsoft SQL Server;
- Active Directory;
- другие внутренние корпоративные сервисы.
Такое перемещение внутри сети позволяет повышать привилегии, извлекать конфиденциальные данные и в ряде случаев добиваться полной компрометации инфраструктуры.
Масштаб последствий
По данным отчета, атака затронула широкий круг организаций, включая critical infrastructure и крупные транснациональные корпорации. Также зафиксированы случаи полного компрометирования сетей и data exfiltration, в том числе в организациях, связанных с обороной.
Авторы анализа подчеркивают, что масштабы и степень автоматизации делают FortiBleed особенно опасной: злоумышленники используют циклическую стратегию, комбинируя украденные учетные данные, брутфорс и перехваченные данные аутентификации для максимизации доступа.
«Масштаб и автоматизация этой атаки заслуживают внимания», — следует из выводов отчета.
Что рекомендуют специалистам
Организациям рекомендуется использовать инструмент поиска FortiBleed для оценки степени уязвимости и напрямую связываться с затронутыми клиентами, чтобы координировать меры по устранению последствий и реагированию на инцидент.
Эксперты также указывают на необходимость усиления базовой защиты интернет-ориентированных устройств, прежде всего за счет:
- внедрения MFA;
- ограничения доступа к интерфейсам управления из интернета;
- оперативного обновления и установки исправлений;
- мониторинга подозрительных попыток входа;
- проверки использования ранее скомпрометированных учетных данных.
На фоне продолжающейся кампании FortiBleed этот инцидент вновь демонстрирует, насколько уязвимыми остаются периметры, где открытые VPN и межсетевые экраны не защищены дополнительными механизмами аутентификации и мониторинга.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



