قراصنة يخترقون 73,000 جدار ناري من Fortinet في حملة عالمية لسرقة بيانات الاعتماد
حملة إجرامية إلكترونية واسعة النطاق اخترقت أكثر من 73,000 جهاز جدار ناري وVPN من Fortinet في جميع أنحاء العالم، مع ضحايا مؤكدين من بين بعض أكبر الشركات في العالم. العملية، التي أطلق عليها الباحثون اسم "FortiBleed"، استخدمت أدوات مسح تلقائي لتحديد أجهزة Fortinet المكشوفة ثم استغلت بيانات اعتماد معروفة سابقًا — وليس ثغرات جديدة — للوصول إليها.
كيف عمل الهجوم
بدلاً من الاعتماد على استغلال ثغرات zero-day، بنى المهاجمون حلقة ذاتية التعزيز: مساحات آلية بحثت في الإنترنت عن أجهزة Fortinet المكشوفة، وجربت كلمات مرور مسربة معروفة للدخول، ثم استخدمت وصولها لجمع بيانات اعتماد جديدة من داخل كل شبكة. تم تغذية بيانات الاعتماد الجديدة التي تم جمعها مرة أخرى في عملية المسح لاختراق أهداف إضافية، مما أدى إلى تضخيم نطاق الحملة بمرور الوقت.
شركة أبحاث الأمن Hudson Rock حددت أكثر من 73,000 عنوان URL فريد مخترق لـ Fortinet، بينما أكدت SOCRadar بشكل مستقل أكثر من 30,000 جهاز مخترق — مما يشير إلى أن النطاق الكامل قد يقع بين هذين التقديرين أو أن كلا الباحثين ينظران إلى مجموعات بيانات متداخلة جزئيًا من مصادر مختلفة.
من تضرر
أكثر البلدان تضررًا هي الهند والولايات المتحدة وتايوان والمكسيك. الصناعات الأكثر تضررًا تشمل خدمات IT والاتصالات ومواد البناء والوكالات الحكومية. من بين الضحايا المؤكدين Accenture وComcast وFoxconn وLenovo وOracle وSamsung وSiemens وPwC — مجموعة من الشركات العالمية الكبرى التي تعتمد على منتجات Fortinet لأمن الشبكات الطرفية.
تمكن المهاجمون من الوصول إلى بيانات الاعتماد وتمكنوا من مراقبة حركة المرور المارة عبر الأجهزة المخترقة، مما منحهم موطئ قدم دائم داخل شبكات الشركات المتضررة.
استجابة Fortinet
قللت Fortinet من خطورة الحملة. صرح متحدث باسم الشركة لـ TechCrunch أن الشركة "على علم بحملة جمع بيانات اعتماد تابعة لجهة خارجية تم الإبلاغ عنها" لكنه وصف الحادث بأنه "إعادة مشاركة بيانات من حوادث سابقة، بالإضافة إلى تخمين كلمات المرور بالقوة الغاشمة (bruteforcing)"، وأضاف أنه "لا علاقة له بأي حادث أو تحذير حديث". لم تتطرق الشركة إلى حجم ضحايا الشركات المؤكدين أو تقنية تضخيم حلقة الاعتماد.
ما يعنيه هذا لأمن المؤسسات
تسلط حملة Fortinet الضوء على نقطة عمياء مستمرة في أمن المؤسسات: أجهزة الحافة — جدران الحماية والشبكات الخاصة الافتراضية وأجهزة الشبكة — غالبًا ما تكون أقل الأنظمة تصحيحًا في المؤسسة. إنها تقع على حافة الشبكة، مكشوفة للإنترنت، ومع ذلك تفشل العديد من المؤسسات في تدوير بيانات الاعتماد بانتظام أو مراقبة الوصول غير المصرح به على هذه الأجهزة تحديدًا. عندما يخترق مهاجم جدارًا ناريًا، يحصل على نقطة مراقبة متميزة لمراقبة كل حركة المرور المارة عبر الشبكة، بما في ذلك جلسات المصادقة والبيانات الحساسة.
يجب على فرق الأمن تدقيق جميع أجهزة Fortinet بحثًا عن علامات الوصول غير المصرح به، وتدوير بيانات الاعتماد على أي أجهزة يحتمل تعرضها، وتمكين المصادقة متعددة العوامل على الوصول إلى VPN حيثما أمكن. تم الإبلاغ عن الحادث في الأصل بواسطة Lorenzo Franceschi-Bicchierai في TechCrunch.
Originally reported by TechCrunch. Read the original article for additional details.
View original source