Pesquisadores de segurança descobriram uma campanha de roubo de credenciais batizada de “FortiBleed“. Invasores conseguiram acesso a cerca de 75.000 dispositivos de firewall Fortinet e roubaram credenciais pertencentes a grandes corporações em 194 países, em alguns casos levando ao comprometimento total da rede. Isso representa aproximadamente metade de todos os firewalls Fortinet expostos à internet, segundo o mecanismo de busca Shodan.

Quem foi afetado

As credenciais vazadas pertencem a multinacionais de praticamente todos os setores, tais como Samsung, Oracle, Foxconn, Siemens, Comcast, PwC, Accenture, Lenovo, Chevron, AT&T, Mercedes-Benz, Toyota e até a própria Fortinet, além de órgãos governamentais. Criminosos chegaram a exfiltrar documentos de defesa classificados de uma empresa contratante de defesa da OTAN, na Turquia.

Como o ataque funcionou

Diferente de campanhas anteriores que exploravam vulnerabilidades, esta operação se baseia em táticas de força bruta. Um grupo de língua russa usou um cluster de 45 GPUs para quebrar hashes de autenticação de VPN e se mover lateralmente para ambientes Active Directory. O pesquisador Bob Diachenko [1] relatou mais de 1,1 bilhão de tentativas de credenciais contra mais de 320.000 instâncias FortiGate, além de 2,1 bilhões de tentativas contra sistemas Microsoft SQL Server. Um detalhe interessante foi que os atacantes deixaram acidentalmente um diretório aberto, o que permitiu ao pesquisador encontrar não só as credenciais roubadas, mas também scripts, históricos de comandos e telemetria de uma operação ativa.

Captura de tela censurada mostrando entradas de login supostamente de firewall Fortinet, domínios afetados, IDs FortiGuard, setores industriais e códigos de país. (Crédito: Bob Diachenko)

A resposta da Fortinet

A empresa minimizou o caso. Segundo a Fortinet, os dados que apareceram na dark web vêm de incidentes anteriores e de força bruta de credenciais, e não estão relacionados a nenhum incidente ou alerta recente. A empresa argumenta que organizações que seguem boas práticas (como troca regular de senhas) correm risco mínimo.

Recomendações práticas

Ação rápida

Se você tem um firewall Fortinet, é fortemente recomendável trocar as senhas, rotacionar imediatamente todas as senhas de VPN Fortinet e ativar a autenticação multifator (MFA), já que a maioria dos dispositivos comprometidos continua online, representando risco contínuo e substancial.

É recomendável verificar se o seu domínio aparece na lista de afetados e agir o quanto antes. A própria empresa Hudson Rock, que analisou o dataset, criou uma ferramenta gratuita de consulta ao FortiBleed [2] para verificar se a sua organização foi impactada.

Boas práticas

Orientamos todas as organizações que usam serviços de Fortinet Firewall ou VPN a adotar as seguintes boas práticas :

• Rotacione as credenciais: todas as credenciais de administração e de VPN devem ser trocadas imediatamente.

• Garanta que os dispositivos estejam atualizados: isso reduz o risco de exploração de vulnerabilidades já conhecidas em firmwares antigos.

• Restrinja a exposição da interface de gerenciamento: para diminuir a superfície de ataque da infraestrutura Fortinet, certifique-se de que as interfaces administrativas/gerenciais do firewall não estejam acessíveis pela internet, salvo se isso for realmente necessário.

• Implemente autenticação multifator (MFA): para todas as interfaces externas, a fim de reduzir o impacto de credenciais roubadas.

• Verifique se as credenciais estão sendo armazenadas com hashing PBKDF2: isso ajuda a prevenir força bruta offline das credenciais. Todas as contas administrativas devem fazer novo login após os dispositivos estarem totalmente atualizados, para forçar a troca da criptografia para PBKDF2.

• Examine os registros em busca de atividade maliciosa:  revise logs de autenticação e de acesso e investigue logins anormais ou alterações suspeitas.

Referências

[1] Firewalls Compromised: Global Enterprises Exposed – Claim Your Ethical Disclosure – https://www.hudsonrock.com/blog/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure

[2] https://www.hudsonrock.com/fortinet