Proprietários de firewalls Fortinet devem alterar suas senhas imediatamente. Os invasores obtiveram acesso a quase 75.000 dispositivos e roubaram credenciais de login pertencentes a empresas importantes em 194 países e, em alguns casos, redes corporativas foram comprometidas, segundo o The Register.
Especialistas em cibersegurança verificaram a autenticidade dos dados e afirmam que as senhas dos equipamentos FortiGate estão vinculadas a contas de empresas multinacionais, incluindo Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, PxW, Accenture, Oracle e outras. Recomenda-se que as organizações verifiquem se seus domínios estão entre os afetados pelo ataque e alterem imediatamente as senhas associadas aos sistemas VPN e interfaces de gerenciamento da Fortinet. Além disso, certifiquem-se de que a autenticação multifator esteja habilitada, pois esse vazamento pode fornecer acesso não apenas ao firewall, mas também a toda a rede corporativa.
De acordo com a Hudson Rock, a violação afetou um total de 21.632 domínios únicos. A empresa afirma que a violação afeta praticamente todos os setores da economia global, com os atacantes compilando um banco de dados com credenciais atualizadas de algumas das maiores empresas do mundo. A Shodan estima que os dados roubados representam aproximadamente metade de todos os firewalls da Fortinet acessíveis online. Além disso, a maioria deles ainda está online, portanto, as vítimas em potencial devem alterar suas senhas imediatamente.
Fonte da imagem: Moritz Kindler/unsplash.com
De acordo com o pesquisador Volodymyr “Bob” Diachenko, que descobriu os ataques, acredita-se que eles estejam ligados a um grupo de língua russa. Ele afirmou que os atacantes interceptaram a autenticação SSL VPN, quebraram hashes usando um cluster de 45 aceleradores via Hashtopolis e, em seguida, obtiveram acesso a ambientes internos do Active Directory. A operação envolveu 1,16 bilhão de tentativas de força bruta contra 320.777 dispositivos FortiGate e outras 2,1 bilhões de tentativas contra 163.650 servidores Microsoft SQL Server.
Além disso, segundo o especialista, os atacantes conseguiram comprometer completamente os sistemas de informação de pelo menos quatro organizações, incluindo uma empresa turca de defesa contratada pela OTAN, e roubaram documentos confidenciais de defesa. De acordo com outro especialista, Kevin Beaumont, que também verificou os dados roubados, eles são de fato autênticos, e os logins e senhas são reais, com os equipamentos de muitas das empresas afetadas utilizando atualizações de segurança bastante recentes.
A própria Fortinet afirmou que os dados que apareceram na darknet se referem a incidentes anteriores e ataques de força bruta. A empresa está confiante de que as organizações que seguem protocolos de segurança padrão, incluindo a troca regular de credenciais, correm risco mínimo de serem comprometidas. Jornalistas entraram em contato com as vítimas do ataque, apelidado de FortiBleed, mas apenas a Lenovo respondeu, afirmando que estava conduzindo uma investigação.
Se você notar um erro, selecione-o com o mouse e pressione CTRL+ENTER. | Você consegue escrever um melhor? Ficaremos felizes em receber sua contribuição.
Fonte: