FortiBleed-Leck enthüllt Anmeldeinformationen von 75.000 Fortinet-Firewalls in 194 Ländern
Forscher Bob Diachenko fand eine Datenbank mit 73.932 exponierten Fortinet-Geräten, die Oracle, Siemens, Accenture und PwC betrifft. Fortinet weist ein Zero-Day-Problem zurück, CISA gibt Warnung aus.
Die Datenbank mit Anmeldeinformationen für 73.932 Fortinet-Firewalls, verteilt über 194 Länder, begann am 18. Juni zu zirkulieren, laut dem Bericht des ukrainischen Forschers Volodymyr "Bob" Diachenko, der den Server identifizierte. Der Datensatz enthält Benutzer, E-Mails und Passwörter im Klartext von FortiGate-Geräten und VPN-Gateways, und mehr als 21.000 Unternehmensdomains sind in der Liste aufgeführt. Namen wie Oracle, Chevron, Lenovo, FedEx, Foxconn, Samsung, Comcast, Siemens, DHL, Infosys, PwC, Accenture und ein NATO-Verteidigungsauftragnehmer traten auf.
Die Kampagne, im ersten Bericht als FortiBleed bezeichnet, wird einer Gruppe von russischsprachigen Kriminellen zugeschrieben. Analysten, die Zugang zu dem Material hatten, beschreiben 1,16 Milliarden Anmeldeversuche gegen 320.777 FortiGate-Ziele, zusammen mit weiteren 2,1 Milliarden Brute-Force-Angriffen gegen 163.650 Microsoft SQL Server-Instanzen.
Die Antwort von Fortinet und CISA
Fortinet gab eine Erklärung ab, in der sie bekanntgibt, sich der "Kampagne zur Sammlung von Anmeldeinformationen durch Dritte, die auf Fortinet-Firewalls und VPN-Gateways abzielt" bewusst zu sein. Das Unternehmen führt das Material auf "eine Wiederverwendung von Daten früherer Vorfälle, kombiniert mit durch Brute-Force erhaltene Anmeldeinformationen" zurück und weist zurück, dass es eine neue Schwachstelle im Produkt gibt. "Bislang haben wir keine Hinweise gefunden, dass Fortinet kompromittiert wurde oder dass diese Aktivität mit einem Zero-Day in Verbindung steht", erklärte das Unternehmen in einer öffentlichen Mitteilung.
Am selben Tag, dem 18. Juni, gab die Cybersecurity and Infrastructure Security Agency (CISA) eine Warnung heraus, dass staatliche und private Organisationen in den USA ihre Fortinet-Installationen, die dem Internet ausgesetzt sind, verstärken sollen. Das Hongkonger Cybersecurity Coordination Centre (HKCERT) gab gleichzeitig eine Warnung heraus, in der das Risiko für lokale Unternehmen angeführt wird. Trotz der Ablehnung von Fortinet, das Label Zero-Day zu akzeptieren, ist die Menge an im Klartext funktionierenden Anmeldeinformationen, die derzeit existiert, was die SOC-Teams beunruhigt: jedes gültige Benutzer-Passwort-Paar ist eine offene Tür, solange das Passwort nicht geändert wird.
Warum dieses Leck anders ist
FortiBleed ist weniger aufgrund der Methode und mehr wegen des Umfangs der Vermischung von Administration und VPN von Bedeutung. Bei Edge-Firewalls kann dasselbe Set von Anmeldeinformationen die Konsole des Geräts und den Tunnel, der den Unternehmensverkehr trägt, öffnen. Für ein multinationales Unternehmen mit Büros in Dutzenden von Ländern verwandelt dies eine einzige kompromittierte Firewall in eine Brücke zum gesamten internen Netzwerk. Die Liste der Betroffenen umfasst Namen, die industrielle Operationen (Siemens, Foxconn, Samsung), Logistik (FedEx, DHL) und Beratung (Accenture, PwC) in geografischen Gebieten von Südkorea bis Deutschland betreiben.
Arctic Wolf stellt in einer technischen Analyse, die ebenfalls am 18. Juni veröffentlicht wurde, fest, dass die Kampagne "aktiv" ist, im Sinne von fortgesetzten Anmeldeversuchen, aber dass der Erwerb der Daten möglicherweise Monate zuvor von verschiedenen Vorfällen stammte, die in einem einzigen Dossier konsolidiert wurden. Für das Unternehmen handelt es sich mehr um Kuratierung als um ein neues Leck, was im Kontrast zu dem Framing eines "neuartigen Angriffs" steht, der in sozialen Netzwerken zirkulierte.
Lektüre für das C-Level
Für den CIO eines multinationalen Unternehmens gibt es drei unmittelbare Handlungsfelder. Erstens, das IOC, das von CISA veröffentlicht wurde, gegen die Firewalls des Betriebs zu analysieren, auch dort, wo der Sicherheitsbereich garantiert, dass die Anmeldeinformationen nach dem Belsen-Leck des letzten Jahres rotiert wurden. Zweitens, die auf Fortinet basierende VPN von kleineren Filialen zu überprüfen, wo MFA möglicherweise noch nicht durchgesetzt ist. Drittens, den Partner für Managed Services (Accenture, PwC, Infosys, Capgemini, alle auf der Liste der betroffenen Unternehmen als Endkunden oder über deren Kunden) aufzufordern, zu erläutern, was hinter der Fortinet-Edge betrieben wird.
Die entscheidende Information, die es in den nächsten 72 Stunden zu verfolgen gilt, ist, ob einer der von Diachenko genannten Namen eine offizielle Mitteilung herausgibt. Bis zum Redaktionsschluss dieses Artikels hatte sich keiner der in der Liste genannten Unternehmensmandanten öffentlich zu einer direkten Exposition geäußert. Schweigen unter diesen Umständen bedeutet in der Regel, dass eine interne Bewertung im Gange ist, nicht das Fehlen eines Einflusses.