USAs cybersikkerhetsmyndighet CISA har oppfordret organisasjoner til å sikre sine Fortinet-enheter etter at forskere avdekket en omfattende eksponering av innloggingsopplysninger kjent som FortiBleed. Lekkasjen inneholder legitimasjonsopplysninger knyttet til nesten 74 000 Fortinet-brannmurer og VPN-gatewayer verden over, noe som skaper betydelig risiko for både offentlige og private virksomheter.

CISA sendte ut advarselen etter rapporter om at trusselaktører aktivt retter seg mot internett-eksponerte Fortinet-systemer ved hjelp av kompromitterte innloggingsopplysninger. Myndigheten advarer om at angripere kan bruke den eksponerte informasjonen til å få uautorisert tilgang til kritisk nettverksinfrastruktur.

Varslet kommer samtidig som bekymringen vokser i cybersikkerhetsmiljøet, mens forskere fortsetter å undersøke omfanget og opprinnelsen til de lekkede dataene.

Forskere fant innloggingsopplysninger for titusenvis av enheter

Sikkerhetsforskeren Volodymyr «Bob» Diachenko oppdaget en eksponert server som inneholdt det som så ut til å være gyldige Fortinet VPN-legitimasjonsopplysninger. Datasettet inneholdt brukernavn, e-postadresser og passord i klartekst knyttet til 73 932 brannmur-URL-er hos organisasjoner over hele verden.

Forskerne fant oppføringer knyttet til selskaper, offentlige etater, telekommunikasjonsleverandører, produsenter, helseorganisasjoner og finansinstitusjoner. De eksponerte dataene dekker 194 land og påvirker mer enn 21 000 domener.

Etterforskerne har ennå ikke fastslått nøyaktig hvordan angriperne samlet inn opplysningene. Bevis tyder imidlertid på at operasjonen omfattet storskala innsamling og validering av legitimasjonsopplysninger mot FortiGate-systemer.

CISA krever umiddelbare tiltak

CISA anbefaler at organisasjoner umiddelbart iverksetter tiltak for å beskytte berørte systemer. Myndigheten råder administratorer til å avslutte aktive SSL VPN- og administrasjonssesjoner, tilbakestille alle VPN- og administratorpassord samt gjennomgå logger for tegn på mistenkelig aktivitet.

Myndigheten anbefaler også å aktivere phishing-resistent multifaktorautentisering og begrense tilgang til administrasjonsgrensesnitt fra det offentlige internett. Administratorer bør dessuten fjerne uautoriserte kontoer og sikre at kun godkjente brukere har administrative rettigheter.

Fortinet-kunder bør også kontrollere at enhetene benytter moderne metoder for passordbeskyttelse, som PBKDF2-hashing, som Fortinet introduserte i nyere versjoner av FortiOS.

FortiBleed er en legitimasjonskrise, ikke en sårbarhet

Forskerne understreker at FortiBleed ikke skyldes en ny programvaresårbarhet. Hendelsen har ingen CVE-identifikator, og det finnes ingen sikkerhetsoppdatering som kan løse problemet. Trusselen kommer i stedet fra eksponerte innloggingsopplysninger som angripere kan bruke til å få tilgang til legitime systemer.

Denne forskjellen gjør hendelsen spesielt alvorlig. Organisasjoner som kun fokuserer på patchhåndtering, kan overse kompromitterte kontoer som fortsatt gir angripere direkte tilgang til nettverksinfrastruktur. Selv sterke passord gir liten beskyttelse når angriperne allerede har fått tak i dem.

Sikkerhetseksperter advarer derfor om at organisasjoner må behandle beskyttelsen av innloggingsopplysninger med samme alvor som håndtering av programvaresårbarheter.

Konklusjon

FortiBleed-lekkasjen har eksponert innloggingsopplysninger knyttet til nesten 74 000 Fortinet-enheter og utløst en hastende advarsel fra CISA. Selv om hendelsen ikke involverer en programvaresårbarhet, kan de lekkede opplysningene gi angripere direkte tilgang til kritiske systemer. Organisasjoner som bruker Fortinet-produkter bør umiddelbart bytte legitimasjonsopplysninger, aktivere sterke autentiseringsmekanismer og gjennomgå systemene sine for tegn på uautorisert tilgang før trusselaktører rekker å utnytte de eksponerte dataene.


0 responses to “FortiBleed-lekkasjen får CISA til å advare Fortinet-brukere”