Hackers comprometem 73.000 firewalls da Fortinet em campanha global de roubo de credenciais
Uma campanha criminosa cibernética em larga escala comprometeu mais de 73.000 dispositivos firewall e VPN da Fortinet em todo o mundo, com vítimas confirmadas entre algumas das maiores empresas globais. A operação, que os pesquisadores apelidaram de "FortiBleed", usou ferramentas de varredura automatizadas para identificar dispositivos Fortinet expostos e, em seguida, explorou credenciais previamente conhecidas — não novas vulnerabilidades — para obter acesso.
Como o ataque funcionou
Em vez de depender de exploits zero-day, os atacantes construíram um loop auto-reforçador: scanners automatizados buscaram na internet por dispositivos Fortinet expostos, tentaram senhas vazadas conhecidas para entrar e, em seguida, usaram seu acesso para coletar credenciais novas de dentro de cada rede. Essas credenciais recém-coletadas foram realimentadas na operação de varredura para comprometer alvos adicionais, ampliando o alcance da campanha ao longo do tempo.
A empresa de pesquisa de segurança Hudson Rock identificou mais de 73.000 URLs únicos comprometidos da Fortinet, enquanto a SOCRadar confirmou de forma independente mais de 30.000 dispositivos hackeados — sugerindo que a escala total pode estar entre essas estimativas ou que ambos os pesquisadores estão examinando conjuntos de dados parcialmente sobrepostos de fontes diferentes.
Quem foi afetado
Os países mais afetados são Índia, Estados Unidos, Taiwan e México. Os setores mais atingidos incluem serviços de TI, telecomunicações, materiais de construção e agências governamentais. Entre as vítimas confirmadas estão Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens e PwC — uma amostra representativa de grandes empresas globais que dependem dos produtos Fortinet para segurança de perímetro de rede.
Os atacantes obtiveram acesso às credenciais e puderam monitorar o tráfego que passava pelos dispositivos comprometidos, dando-lhes um ponto de apoio persistente dentro das redes corporativas afetadas.
Resposta da Fortinet
A Fortinet minimizou a gravidade da campanha. Um porta-voz da empresa disse ao TechCrunch que a firma "está ciente de uma campanha relatada de coleta de credenciais por terceiros", mas caracterizou o incidente como "um re-compartilhamento de dados de incidentes anteriores, além de quebra de credenciais por força bruta", acrescentando que "não está relacionado a nenhum incidente ou aviso recente". A empresa não abordou a escala de vítimas corporativas confirmadas nem a técnica de amplificação por loop de credenciais.
O que isso significa para a segurança empresarial
A campanha da Fortinet destaca um ponto cego persistente na segurança empresarial: dispositivos de perímetro — firewalls, VPNs e equipamentos de rede — são frequentemente os sistemas menos corrigidos em uma organização. Eles ficam na borda da rede, expostos à internet, mas muitas organizações não trocam as credenciais regularmente nem monitoram especificamente o acesso não autorizado nesses dispositivos. Quando um invasor compromete um firewall, ele ganha um ponto de observação privilegiado para observar todo o tráfego que passa pela rede, incluindo sessões de autenticação e dados sensíveis.
As equipes de segurança devem auditar todos os dispositivos Fortinet em busca de sinais de acesso não autorizado, trocar as credenciais em qualquer dispositivo potencialmente exposto e habilitar a autenticação multifator no acesso VPN sempre que possível. O incidente foi originalmente relatado por Lorenzo Franceschi-Bicchierai no TechCrunch.
Originally reported by TechCrunch. Read the original article for additional details.
View original source