En omfattende Fortinet-kampanje med stjålne legitimasjoner skal ifølge rapporter ha eksponert tilgangsdata knyttet til titusenvis av VPN- og brannmurenheter verden over. Sikkerhetsforskere opplyser at operasjonen rettet seg mot internett-eksponerte Fortinet-systemer og samlet inn innloggingsopplysninger som kan knyttes til store selskaper, offentlige myndigheter og organisasjoner innen kritisk infrastruktur.
Funnene viser at nettverksnære enheter fortsatt er svært verdifulle mål for cyberkriminelle. Samtidig benytter angripere i økende grad stjålne legitimasjoner i stedet for tradisjonell skadevare for å få tilgang til virksomheters systemer.
Forskere kobler kampanjen til tusenvis av enheter
Sikkerhetsforskere som undersøkte aktiviteten, fant bevis som tyder på at angriperne samlet inn legitimasjoner knyttet til rundt 75 000 Fortinet-enheter. De berørte systemene befinner seg i mer enn et dusin land og tilhører både offentlige og private organisasjoner.
Blant de rapporterte ofrene finnes Fortune 500-selskaper, myndigheter og andre virksomheter med omfattende digital infrastruktur. Kampanjens omfang har vekket bekymring fordi Fortinet-enheter ofte fungerer som inngangsporter til bedriftsnettverk. Den som får tilgang til slike systemer, kan i mange tilfeller nå interne ressurser og sensitiv informasjon.
Forskerne beskriver operasjonen som en av de største legitimasjonsbaserte kampanjene som har rettet seg mot Fortinet-miljøer de siste årene.
Angripere fortsetter å misbruke stjålet tilgang
I motsetning til mange cyberkampanjer som bygger på nye sårbarheter, ser denne aktiviteten først og fremst ut til å ha fokusert på innsamling og bruk av innloggingsopplysninger. Sikkerhetseksperter har lenge advart om at gyldige kontoer har blitt en av de mest verdifulle ressursene i det kriminelle cybermiljøet.
Når angripere bruker legitime legitimasjoner, kan de gli inn i normal nettverkstrafikk og unngå mange tradisjonelle sikkerhetskontroller. Etter at de har fått fotfeste i et miljø, kan de kartlegge systemer, få tilgang til sensitiv informasjon og etablere langvarig tilstedeværelse.
Metoden reduserer også behovet for avanserte utnyttelser, noe som gjør stjålne kontoer attraktive både for økonomisk motiverte grupper og statlig støttede aktører.
Fortinet ser ingen kobling til ny sårbarhet
Fortinet har bekreftet rapportene, men opplyser at aktiviteten ikke ser ut til å ha sammenheng med en nyoppdaget sikkerhetssvakhet. Ifølge selskapet kan de eksponerte legitimasjonene stamme fra eldre kompromitteringer fremfor et nytt angrep mot Fortinets produkter.
Dette er en viktig forskjell fordi mange organisasjoner legger stor vekt på sikkerhetsoppdateringer, samtidig som de overser håndteringen av brukerkontoer og autentiseringsopplysninger. Gamle brukernavn og passord kan fortsatt være verdifulle for angripere dersom kontoene er aktive eller sikkerhetskontrollene er utilstrekkelige.
Situasjonen viser hvordan tidligere eksponerte opplysninger kan fortsette å skape risiko lenge etter at den opprinnelige hendelsen har forsvunnet fra overskriftene.
Sikkerhetsteam møter økt press
Den rapporterte kampanjen minner om at VPN-løsninger og brannmurer fortsatt er attraktive mål for cyberkriminelle. Disse systemene har ofte omfattende rettigheter og gir tilgang til forretningskritiske ressurser, noe som gjør dem spesielt verdifulle under innbruddsforsøk.
Sikkerhetseksperter anbefaler at organisasjoner gjennomgår VPN-kontoer, bytter passord regelmessig, innfører multifaktorautentisering og overvåker mistenkelig innloggingsaktivitet. De oppfordrer også virksomheter til å kontrollere at internett-eksponert infrastruktur er riktig konfigurert og fullt oppdatert.
Etter hvert som angripere i større grad benytter identitetsbaserte angrep, har beskyttelse av legitimasjoner blitt like viktig som arbeidet med å lukke sårbarheter.
Konklusjon
Fortinet-kampanjen viser hvordan stjålne legitimasjoner kan skape omfattende sikkerhetsrisikoer. Forskere opplyser at operasjonen omfattet innloggingsopplysninger knyttet til rundt 75 000 enheter og berørte organisasjoner i flere land. Selv om Fortinet understreker at aktiviteten ikke har noen kobling til en ny sårbarhet, illustrerer kampanjen en tydelig utvikling i trusselbildet. Gyldige kontoer gir ofte angripere den enkleste veien inn i bedriftsnettverk, noe som gjør identitetsbeskyttelse til en sentral del av moderne cybersikkerhet.


0 responses to “Fortinet-kampanje for stjålne legitimasjoner eksponerer store organisasjoner”