USA’s cybersikkerhedsagentur CISA har opfordret organisationer til at sikre deres Fortinet-enheder, efter at forskere afslørede en omfattende eksponering af legitimationsoplysninger kendt som FortiBleed. Lækagen indeholder oplysninger knyttet til næsten 74.000 Fortinet-firewalls og VPN-gateways verden over, hvilket skaber betydelige risici for både offentlige myndigheder og private virksomheder.
CISA udsendte advarslen efter rapporter om, at trusselsaktører aktivt målretter internettilgængelige Fortinet-systemer ved hjælp af kompromitterede legitimationsoplysninger. Myndigheden advarer om, at angribere kan bruge de eksponerede oplysninger til at opnå uautoriseret adgang til kritisk netværksinfrastruktur.
Advarslen kommer samtidig med stigende bekymring i cybersikkerhedsbranchen, mens forskere fortsætter med at undersøge omfanget og oprindelsen af de lækkede data.
Forskere fandt legitimationsoplysninger til titusindvis af enheder
Sikkerhedsforskeren Volodymyr “Bob” Diachenko opdagede en eksponeret server, der indeholdt, hvad der så ud til at være gyldige Fortinet VPN-legitimationsoplysninger. Datasættet omfattede brugernavne, e-mailadresser og adgangskoder i klartekst knyttet til 73.932 firewall-URL’er hos organisationer verden over.
Forskerne fandt poster relateret til virksomheder, offentlige myndigheder, telekommunikationsudbydere, producenter, sundhedsorganisationer og finansielle institutioner. De eksponerede data spænder over 194 lande og påvirker mere end 21.000 domæner.
Efterforskerne har endnu ikke fastslået præcis, hvordan angriberne indsamlede legitimationsoplysningerne. Beviser tyder dog på, at operationen omfattede storskala indsamling og validering af loginoplysninger mod FortiGate-systemer.
CISA kræver øjeblikkelig handling
CISA anbefaler, at organisationer straks iværksætter foranstaltninger for at beskytte de berørte systemer. Myndigheden råder administratorer til at afslutte aktive SSL VPN- og administrationssessioner, nulstille alle VPN- og administratoradgangskoder samt gennemgå logfiler for tegn på mistænkelig aktivitet.
Myndigheden anbefaler også at aktivere phishing-resistent multifaktorgodkendelse og begrænse adgangen til administrationsgrænseflader fra det offentlige internet. Administratorer bør desuden fjerne uautoriserede konti og sikre, at kun godkendte brugere har administrative rettigheder.
Fortinet-kunder bør også kontrollere, at deres enheder anvender moderne metoder til adgangskodebeskyttelse, såsom PBKDF2-hashing, som Fortinet introducerede i nyere versioner af FortiOS.
FortiBleed er en legitimationskrise, ikke en sårbarhed
Forskerne understreger, at FortiBleed ikke skyldes en ny software-sårbarhed. Der findes ingen CVE-identifikator for hændelsen, og ingen sikkerhedsopdatering kan løse problemet. Truslen stammer i stedet fra eksponerede legitimationsoplysninger, som angribere kan bruge til at få adgang til legitime systemer.
Denne forskel gør hændelsen særligt alvorlig. Organisationer, der udelukkende fokuserer på patchhåndtering, risikerer at overse kompromitterede konti, som stadig giver angribere direkte adgang til netværksinfrastruktur. Selv stærke adgangskoder giver begrænset beskyttelse, når angribere allerede har fået fat i dem.
Sikkerhedseksperter advarer derfor om, at organisationer bør behandle beskyttelsen af legitimationsoplysninger med samme alvor som håndtering af sikkerhedssårbarheder.
Konklusion
FortiBleed-lækagen har eksponeret legitimationsoplysninger knyttet til næsten 74.000 Fortinet-enheder og udløst en hastende advarsel fra CISA. Selvom hændelsen ikke involverer en software-sårbarhed, kan de lækkede oplysninger give angribere direkte adgang til kritiske systemer. Organisationer, der anvender Fortinet-produkter, bør straks udskifte legitimationsoplysninger, aktivere stærke autentificeringsmekanismer og gennemgå deres systemer for tegn på uautoriseret adgang, før trusselsaktører udnytter de eksponerede data.


0 svar til “FortiBleed-lækagen får CISA til at advare Fortinet-brugere”