USA:s cybersäkerhetsmyndighet CISA har uppmanat organisationer att säkra sina Fortinet-enheter efter att forskare upptäckt en omfattande exponering av inloggningsuppgifter som fått namnet FortiBleed. Läckan innehåller uppgifter kopplade till nästan 74 000 Fortinet-brandväggar och VPN-gateways världen över, vilket skapar betydande risker för både myndigheter och privata organisationer.
CISA utfärdade varningen efter rapporter om att hotaktörer aktivt riktar in sig på internetanslutna Fortinet-system med hjälp av komprometterade inloggningsuppgifter. Myndigheten varnar för att angripare kan använda den exponerade informationen för att få obehörig åtkomst till kritisk nätverksinfrastruktur.
Varningen kommer samtidigt som oron växer inom cybersäkerhetsbranschen och forskare fortsätter att undersöka omfattningen och ursprunget till den läckta datan.
Forskare hittade inloggningsuppgifter för tiotusentals enheter
Säkerhetsforskaren Volodymyr ”Bob” Diachenko upptäckte en exponerad server som innehöll vad som verkade vara giltiga Fortinet VPN-uppgifter. Datamängden innehöll användarnamn, e-postadresser och lösenord i klartext kopplade till 73 932 brandväggs-URL:er hos organisationer världen över.
Forskarna hittade poster kopplade till företag, myndigheter, telekomoperatörer, tillverkare, vårdorganisationer och finansinstitut. Den exponerade datan omfattar 194 länder och påverkar mer än 21 000 domäner.
Utredarna har ännu inte fastställt exakt hur angriparna samlade in uppgifterna. Bevis tyder dock på att operationen omfattade storskalig insamling och verifiering av inloggningsuppgifter riktade mot FortiGate-system.
CISA kräver omedelbara åtgärder
CISA rekommenderar att organisationer omedelbart vidtar åtgärder för att skydda berörda system. Myndigheten uppmanar administratörer att avsluta aktiva SSL VPN- och administrationssessioner, återställa alla VPN- och administratörslösenord samt granska loggar efter tecken på misstänkt aktivitet.
Myndigheten rekommenderar även att aktivera nätfiske-resistent multifaktorautentisering och begränsa åtkomsten till administrationsgränssnitt från det publika internet. Administratörer bör dessutom ta bort obehöriga konton och säkerställa att endast godkända användare har administrativa behörigheter.
Fortinet-kunder bör också kontrollera att deras enheter använder moderna metoder för lösenordsskydd, såsom PBKDF2-hashning, som Fortinet införde i senare versioner av FortiOS.
FortiBleed är en legitimationskris, inte en sårbarhet
Forskarna betonar att FortiBleed inte handlar om en nyupptäckt programvarusårbarhet. Incidenten har inget CVE-nummer och det finns ingen säkerhetsuppdatering som kan lösa problemet. Hotet kommer i stället från exponerade inloggningsuppgifter som angripare kan använda för att få åtkomst till legitima system.
Den skillnaden gör incidenten särskilt allvarlig. Organisationer som enbart fokuserar på patchhantering riskerar att missa komprometterade konton som fortfarande ger angripare direkt åtkomst till nätverksinfrastruktur. Även starka lösenord förlorar sitt skyddsvärde när angripare redan har fått tag på dem.
Säkerhetsexperter varnar därför för att organisationer måste behandla skyddet av inloggningsuppgifter med samma prioritet som hantering av säkerhetssårbarheter.
Slutsats
FortiBleed-läckan har exponerat inloggningsuppgifter kopplade till nästan 74 000 Fortinet-enheter och utlöst en brådskande varning från CISA. Även om incidenten inte involverar någon programvarusårbarhet kan de läckta uppgifterna ge angripare direkt åtkomst till kritiska system. Organisationer som använder Fortinet-produkter bör omedelbart byta inloggningsuppgifter, aktivera starka autentiseringsmekanismer och granska sina system efter tecken på obehörig åtkomst innan hotaktörer utnyttjar den exponerade informationen.


0 svar till ”FortiBleed-läckan får CISA att varna Fortinet-användare”