Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak pelanggan Fortinet untuk mengamankan perangkat mereka setelah hampir 74.000 firewall dan kredensial VPN terungkap dalam kebocoran data yang dijuluki “FortiBleed.”
Peringatan ini muncul setelah pelaku ancaman menggunakan kredensial yang telah disusupi untuk menargetkan perangkat Fortinet yang dapat diakses internet di seluruh organisasi pemerintah dan sektor swasta di seluruh dunia.
“CISA mengetahui laporan global bahwa pelaku dunia maya yang jahat telah menargetkan perangkat Fortinet yang dapat diakses internet di seluruh organisasi pemerintah dan sektor swasta dengan menggunakan kredensial yang telah disusupi,” katanya.
“Aktivitas ini, disebut sebagai FortiBleed, melibatkan pengungkapan kredensial yang bocor terkait dengan sekitar 74.000 perangkat Fortinet, termasuk firewall dan gateway jaringan pribadi virtual (VPN).”
Badan tersebut meminta pemilik peralatan FortiGate yang terkena dampak untuk menghentikan semua SSL VPN dan sesi administratif, mengatur ulang semua kata sandi VPN dan administratif, mengaktifkan otentikasi multifaktor yang tahan phishing, dan meninjau log untuk tanda-tanda akses tidak sah atau pergerakan lateral.
CISA juga menyarankan pelanggan Fortinet untuk menyimpan kredensial admin menggunakan algoritma hashing Fungsi Derivasi Kunci Berbasis Kata Sandi 2 (PBKDF2) modern, dan untuk membatasi antarmuka manajemen firewall dari akses internet publik dan menghapus akun yang tidak sah untuk mengurangi permukaan serangan sebanyak mungkin.
Kredensial untuk lebih dari 73 ribu firewall terekspos
Itu Kebocoran data FortiBleed ditemukan oleh peneliti keamanan Volodymyr “Bob” Diachenko, yang menemukan server berisi kredensial Fortinet VPN yang valid, termasuk nama pengguna, alamat email, dan kata sandi teks biasa untuk 73.932 URL firewall di seluruh dunia.
Data yang terungkap juga mencakup industri, pendapatan, dan jumlah karyawan masing-masing organisasi, yang menurut Diachenko tampaknya dikumpulkan untuk membantu merencanakan serangan di masa depan.
Perusahaan intelijen ancaman Hudson Rock, yang juga menganalisis datasetmenggambarkannya sebagai salah satu koleksi terbesar kredensial Fortinet yang telah disusupi, mencakup 21,632 domain unik dan 194 negara.
Organisasi yang terwakili dalam kumpulan data ini adalah Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T, dan Toyota, serta banyak lembaga pemerintah dan operator infrastruktur penting di sektor telekomunikasi, layanan kesehatan, jasa keuangan, dan industri manufaktur.
Jumlah tertinggi perangkat yang terkena dampak berasal dari India, Amerika Serikat, Taiwan, Meksiko, Turki, Thailand, Kolombia, Malaysia, Chili, dan Uni Emirat Arab.
Kebocoran data terkait dengan kelompok ancaman berbahasa Rusia
Diachenko juga mengatakan operasinya dilakukan oleh kelompok ancaman berbahasa Rusia yang diduga melakukan sekitar 1,16 miliar upaya kredensial terhadap lebih dari 320.000 target FortiGate untuk mencegat hash otentikasi SSL VPN. Sumber data konfigurasi masih belum diketahui.
Pakar keamanan siber Kevin Beaumont juga secara independen mengonfirmasi keaslian beberapa kredensial dan mencatat bahwa sebagian besar perangkat yang terkena dampak tetap online.
“Datanya sah. Ada sekitar 75 ribu perangkat. Hampir semuanya masih online, begitu juga perangkat Fortinet. Sepertinya data terbaru,” kata Beaumontmenambahkan bahwa data yang bocor tampaknya berasal dari file konfigurasi Fortinet.
Namun, sumber datanya masih belum diketahui, dan tidak jelas apakah data tersebut dicuri melalui eksploitasi kerentanan Fortinet yang diungkapkan sebelumnya, kelemahan keamanan yang baru ditemukan, atau metode lain.
Hudson Rock juga telah menciptakan yang gratis Alat pencarian FortiBleed untuk membantu organisasi memeriksa apakah mereka terkena dampaknya.
Pada hari Senin, perusahaan intelijen ancaman Defused juga melaporkan hal itu beberapa kerentanan kritis di FortiSandbox Fortinet platform deteksi ancaman cyber kini dieksploitasi dalam serangan. Secara total, trek CISA 26 Kelemahan keamanan Fortinet yang telah dieksploitasi secara liar dalam beberapa tahun terakhir, 13 di antaranya disalahgunakan dalam serangan ransomware.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
