Исследователи сообщили о массовой компрометации Fortinet-шлюзов через старые учетные данные

Hudson Rock и SOCRadar сообщили о кампании FortiBleed против межсетевых экранов и VPN-шлюзов Fortinet: по их данным, злоумышленники автоматизированно проверяют доступные из интернета устройства и используют ранее скомпрометированные пароли. Fortinet заявляет, что не видит признаков нового инцидента или новой уязвимости: по оценке компании, речь идет о повторном распространении старых данных и переборе учетных данных.

Киберразведочные компании Hudson Rock и SOCRadar сообщили о крупной кампании FortiBleed против межсетевых экранов и VPN-шлюзов Fortinet. По их версии, операторы кампании сканируют интернет в поисках доступных извне устройств Fortinet, пробуют известные ранее пароли, а после успешного входа собирают новые учетные данные из трафика и используют их для дальнейших атак.

Hudson Rock утверждает, что обнаружила признаки компрометации 73 932 уникальных URL Fortinet в 194 странах. SOCRadar на странице отслеживания кампании оценивает масштаб более чем в 86 тыс. скомпрометированных устройств и отмечает, что числа регулярно обновляются. Среди стран с наибольшим числом записей называются Индия и США; среди затронутых секторов — ИТ-услуги, телекоммуникации, госсектор и крупные коммерческие организации.

Fortinet в комментарии TechCrunch заявила, что знает о сообщениях о сторонней кампании по сбору учетных данных против Fortinet firewalls and VPN gateways. По анализу компании, эти данные связаны с повторным распространением информации из прежних инцидентов и перебором паролей, а не с новым инцидентом или новым бюллетенем безопасности. Практический риск для администраторов остается прежним: интерфейсы управления и VPN-шлюзы, доступные из интернета и защищенные только паролем, нужно проверять на компрометацию, закрывать от публичного доступа, переводить на MFA и принудительно менять учетные данные.