AIO APEX
Security

هکرها در یک کمپین جهانی سرقت credential، ۷۳,۰۰۰ Fortinet firewall را به خطر انداختند

TechCrunch
اشتراک‌گذاری:
هکرها در یک کمپین جهانی سرقت credential، ۷۳,۰۰۰ Fortinet firewall را به خطر انداختند

یک کمپین جنایت سایبری در مقیاس بزرگ بیش از ۷۳,۰۰۰ دستگاه Fortinet firewall و VPN را در سراسر جهان به خطر انداخته است و قربانیان تأییدشده آن برخی از بزرگ‌ترین شرکت‌های جهان را در بر می‌گیرند. این عملیات که پژوهشگران آن را «FortiBleed» نامیده‌اند، از ابزارهای اسکن خودکار برای شناسایی دستگاه‌های Fortinet در معرض دید استفاده کرده و سپس با بهره‌گیری از credential‌های پیش‌تر لو رفته — نه آسیب‌پذیری‌های جدید — دسترسی به آن‌ها را به دست آورده است.

چگونگی عملکرد حمله

مهاجمان به جای تکیه بر اکسپلویت‌های zero-day، یک حلقه خودتقویت‌کننده ساختند: اسکنرهای خودکار اینترنت را برای یافتن دستگاه‌های Fortinet در معرض دید جستجو می‌کردند، رمزهای عبور لو رفته شناخته‌شده را برای ورود امتحان می‌کردند و سپس از دسترسی به دست آمده برای برداشت credential‌های تازه از درون هر شبکه استفاده می‌کردند. آن credential‌های تازه جمع‌آوری‌شده مجدداً به عملیات اسکن تزریق می‌شدند تا اهداف بیشتری را به خطر بیندازند و در طول زمان دامنه کمپین را گسترش دهند.

شرکت پژوهش امنیتی Hudson Rock بیش از ۷۳,۰۰۰ URL منحصربه‌فرد Fortinet به خطر افتاده را شناسایی کرد، در حالی که SOCRadar به طور مستقل بیش از ۳۰,۰۰۰ دستگاه هک‌شده را تأیید کرد — که این امر نشان می‌دهد مقیاس واقعی ممکن است جایی میان این دو برآورد باشد یا هر دو پژوهشگر به مجموعه داده‌های تا حدی همپوشان از منابع مختلف نگاه می‌کنند.

چه کسانی تحت تأثیر قرار گرفتند

کشورهای بیشترین آسیب‌دیده عبارت‌اند از هند، ایالات متحده، تایوان و مکزیک. صنایع سخت‌ترین آسیب‌دیده شامل خدمات IT، مخابرات، مصالح ساختمانی و نهادهای دولتی می‌شوند. از جمله قربانیان تأییدشده Accenture، Comcast، Foxconn، Lenovo، Oracle، Samsung، Siemens و PwC هستند — مقطعی از شرکت‌های بزرگ جهانی که برای امنیت شبکه محیطی به محصولات Fortinet متکی هستند.

مهاجمان به credential‌ها دسترسی پیدا کردند و توانستند ترافیک عبوری از دستگاه‌های به خطر افتاده را رصد کنند و بدین ترتیب جایگاهی پایدار در درون شبکه‌های شرکتی آسیب‌دیده به دست آوردند.

واکنش Fortinet

Fortinet شدت این کمپین را کم‌اهمیت جلوه داد. سخنگوی این شرکت به TechCrunch گفت که این شرکت «از یک کمپین گزارش‌شده برداشت credential توسط شخص ثالث آگاه است» اما این رویداد را «بازانتشار داده‌هایی از حوادث پیشین، همراه با brute-force کردن credential‌ها» توصیف کرد و افزود که «به هیچ حادثه یا اطلاعیه اخیری مرتبط نیست.» این شرکت به مقیاس قربانیان شرکتی تأییدشده یا تکنیک تقویت حلقه credential نپرداخت.

این موضوع برای امنیت سازمانی چه معنایی دارد

کمپین Fortinet بر یک نقطه کور پایدار در امنیت سازمانی تأکید می‌کند: دستگاه‌های محیطی — firewall‌ها، VPN‌ها و تجهیزات شبکه — اغلب کم‌وصله‌ترین سیستم‌های یک سازمان هستند. این دستگاه‌ها در لبه شبکه قرار دارند و در معرض اینترنت هستند، اما بسیاری از سازمان‌ها در چرخش منظم credential‌ها یا نظارت بر دسترسی غیرمجاز به این دستگاه‌ها به طور خاص کوتاهی می‌کنند. هنگامی که یک مهاجم یک firewall را به خطر می‌اندازد، دیدگاهی ممتاز برای مشاهده تمام ترافیک عبوری از شبکه، از جمله جلسات احراز هویت و داده‌های حساس، به دست می‌آورد.

تیم‌های امنیتی باید تمام دستگاه‌های Fortinet را برای نشانه‌های دسترسی غیرمجاز بررسی کنند، credential‌های دستگاه‌های احتمالاً در معرض دید را تغییر دهند و در صورت امکان احراز هویت چندعاملی را برای دسترسی VPN فعال کنند. این رویداد در ابتدا توسط Lorenzo Franceschi-Bicchierai در TechCrunch گزارش شده بود.

cybersecurityenterprise-securitydata-breachfortinetfirewallfortibleed

Originally reported by TechCrunch. Read the original article for additional details.

View original source
اشتراک‌گذاری: