«FortiBleed» eksponerer VPN-legitimasjon for titusenvis av Fortinet-enheter.
«FortiBleed» eksponerer VPN-legitimasjon for titusenvis av Fortinet-enheter
En omfattende datasamling kalt «FortiBleed» inneholder tilsynelatende gyldige VPN- og admin-legitimasjoner for rundt 74 000 Fortinet/FortiGate-enheter globalt. Datasettet, oppdaget av sikkerhetsforsker Bob Diachenko, inkluderer brukernavn, e‑postadresser og klartekstpassord knyttet til over 21 000 organisasjoner i 194 land. Flere store selskaper og kritiske sektorer er representert, og enkelte legitimasjoner er bekreftet som ekte.
Ifølge funnene stammer dataene trolig fra en langvarig credential-harvesting-kampanje med massiv brute force-aktivitet mot blant annet FortiGate SSL VPN og Microsoft SQL Server. Angriperne skal også ha fanget opp autentiseringshashes, knekt dem med GPU-klynger og brukt tilgangene til lateral bevegelse inn i interne Active Directory-miljøer. Datasettet inneholder detaljerte logger over vellykkede innbrudd og informasjon om målorganisasjoner, noe som tyder på strukturert og vedvarende aktivitet.
Opprinnelsen til lekkasjen er ikke fullt avklart. Fortinet sier selv at dataene trolig er en samling fra tidligere hendelser og bruteforce-angrep, og ikke knyttet til en ny sårbarhet. Likevel viser analyser at mange av de kompromitterte enhetene fortsatt er tilgjengelige på nett, ofte med eksponerte administrasjonsgrensesnitt.
Berørte virksomheter bør umiddelbart rotere passord, aktivere multifaktorautentisering (MFA), gjennomgå logger for mistenkelig aktivitet og kartlegge eventuell kompromittering av brukerkontoer. Det finnes også verktøy for å sjekke om man er påvirket, "Fortibleed Lookup".
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.