Kebocoran data yang baru ditemukan yang dijuluki “FortiBleed” telah mengungkap kumpulan kredensial Fortinet dan FortiGate VPN untuk 73.932 URL firewall di organisasi di seluruh dunia.
Data yang terekspos pertama kali ditemukan oleh peneliti keamanan Bob Diachenko, yang mengatakan ia menemukan server berisi kredensial Fortinet VPN yang tampaknya valid, termasuk nama pengguna, alamat email, dan kata sandi teks biasa.
Menurut tangkapan layar dan informasi yang dibagikan oleh Diachenko, database tersebut berisi entri untuk Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid, dan banyak lainnya.
“Kampanye eksploitasi besar-besaran Fortinet/FortiGate/eksploitasi aktif terungkap dalam aksi,” tulis Diachenko di LinkedIn.
“Ribuan vendor terkemuka tercantum dalam file seperti ini (lihat tangkapan layar). Yang satu ini saja memiliki 21.634 nama domain – dari Chevron hingga Fortinet itu sendiri. Semuanya – dengan kata sandi yang berpotensi berfungsi untuk peralatan FortiGate yang diperoleh melalui berbagai mena.”
Data yang terungkap juga mencakup komentar yang mencantumkan industri, pendapatan, dan jumlah karyawan masing-masing organisasi, yang kemungkinan besar akan merencanakan serangan.
Sumber: Diachenko
Diachenko kemudian dibagikan informasi tambahan yang mengklaim operasi tersebut dilakukan oleh kelompok ancaman multi-operator berbahasa Rusia yang mengambil kredensial untuk perangkat FortiGate SSL VPN.
Menurut penyelidikan Diachenko, para penyerang diduga melakukan sekitar 1,16 miliar upaya kredensial terhadap 320.777 target FortiGate dan tambahan 2,1 miliar upaya terhadap 163.650 sistem Microsoft SQL Server.
Dia lebih lanjut mengklaim bahwa pelaku ancaman mencegat hash otentikasi SSL VPN, memecahkannya menggunakan cluster 45-GPU yang dikelola melalui Hashtopolis, dan menggunakan kredensial yang dipulihkan untuk berpindah secara lateral ke lingkungan Active Directory internal.
Diachenko mengatakan kepada BleepingComputer bahwa dia memperoleh rincian ini setelah menganalisis file tambahan yang secara tidak sengaja terekspos di server yang sama.
“Mereka secara tidak sengaja meninggalkan direktori terbuka dengan artefak, string koneksi, perkakas, skrip, dan data online. Analisis diperoleh melalui tugas cron, riwayat bash, log, dll,” jelas Diachenko.
Peneliti juga menyatakan bahwa banyak organisasi di Jepang, Taiwan, Vietnam, Irak, dan Turki telah sepenuhnya disusupi, termasuk kontraktor pertahanan NATO Turki yang dokumen rahasianya diduga dicuri.
Perusahaan intelijen ancaman Hudson Rock sejak itu menerbitkan analisisnya sendiri dari data yang terpapar setelah menerima kumpulan data dari Diachenko. Perusahaan menggambarkan koleksi tersebut sebagai salah satu harta terbesar yang diketahui terkait dengan kredensial Fortinet.
Menurut Hudson Rock, kumpulan data tersebut berisi 73,932 URL firewall unik di 194 negara dan memengaruhi 21,632 domain unik.
Perusahaan mengatakan para penyerang menyimpan catatan rinci tentang penyusupan yang berhasil dan mengumpulkan database yang berisi kredensial terverifikasi untuk organisasi di hampir setiap sektor industri besar.
Di antara organisasi yang menurut Hudson Rock muncul dalam kumpulan data adalah Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, dan sejumlah lembaga pemerintah serta operator infrastruktur penting.
Perusahaan juga merilis statistik yang menunjukkan bahwa jumlah tertinggi perangkat yang terkena dampak berada di India, Amerika Serikat, Taiwan, Meksiko, Turki, Thailand, Kolombia, Malaysia, Chili, dan Uni Emirat Arab.
Sektor yang paling umum bagi perusahaan tercatat adalah telekomunikasi, layanan TI, jasa keuangan, organisasi pemerintah, penyedia layanan kesehatan, lembaga pendidikan, dan manufaktur.
Salah satu aspek yang aneh dari kebocoran ini adalah banyak dari kredensial yang terekspos adalah kata sandi yang panjang dan rumit yang biasanya dianggap sulit untuk dipecahkan.
Diyakini diekstraksi dari konfigurasi Fortinet
Peneliti keamanan siber Kevin Beaumont secara independen meninjau sebagian data yang terekspos dan mengatakan kepada BleepingComputer bahwa beberapa kredensialnya asli.
“Saya telah dapat mengkonfirmasi keaslian beberapa login dan kata sandi admin – ini terlihat seperti sebuah dump sungguhan,” kata Beaumont.
Setelah meninjau lebih lanjut data yang dibagikan oleh Hudson Rock, Beaumont menerbitkan temuan tambahan menunjukkan bahwa kumpulan data tersebut berisi kredensial untuk sekitar 75.000 perangkat Fortinet, yang sebagian besar masih online.
Menurut Beaumont, data tersebut tampaknya berasal dari konfigurasi Fortinet yang diekspor karena berisi informasi, termasuk alamat email, yang biasanya hanya dapat diakses melalui konfigurasi.
Dia juga mengatakan alamat IP yang terpengaruh berbeda dengan yang ada di Kebocoran Fortinet Grup Belsen 2025yang selanjutnya menunjukkan bahwa ini adalah kumpulan perangkat yang disusupi yang lebih baru dan lebih besar.
Beaumont mengatakan dia memverifikasi bahwa beberapa organisasi yang terdaftar dalam kumpulan data menggunakan kredensial yang valid dan mengamati bahwa banyak perangkat yang terkena dampak menjalankan versi FortiOS yang relatif baru.
“Datanya sah. Ada sekitar 75 ribu perangkat. Hampir semuanya masih online, dan perangkat Fortinet. Tampaknya ini adalah data terbaru,” tulis Beaumont.
Berdasarkan data jaringan dari Shodan, Beaumont mengatakan kebocoran tersebut berisi sekitar setengah dari seluruh firewall Fortinet yang dapat diakses internet dan mengatakan bahwa sebagian besar perangkat yang terkena dampak mengekspos antarmuka manajemen FortiGate mereka langsung ke internet.
Sumber data konfigurasi masih belum diketahui, dan tidak jelas apakah data tersebut dicuri melalui kerentanan Fortinet yang diungkapkan sebelumnya, kelemahan yang baru ditemukan, atau metode lain. Baik Diachenko, Hudson Rock, maupun Beaumont tidak mengidentifikasi bagaimana data konfigurasi awalnya diperoleh.
Hudson Rock telah menciptakan yang gratis Alat pencarian FortiBleed untuk memeriksa apakah organisasi Anda terkena dampaknya.
Organisasi dalam kumpulan data harus segera merotasi kata sandi yang terkait dengan Fortinet VPN dan antarmuka administratif, menerapkan MFA, memeriksa log gateway untuk aktivitas mencurigakan, dan memantau kredensial karyawan yang terekspos.
BleepingComputer menghubungi Fortinet mengenai kumpulan data yang terekspos dan akan memperbarui artikel ini jika kami menerima tanggapan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
