Un gruppo cybercriminale ha sottratto le credenziali admin di quasi 74.000 firewall FortiGate in 194 paesi; i dati risultano in parte ancora validi secondo i ricercatori.
Autore: Redazione SecurityOpenLab
È stato soprannominato FortiBleed il dataleak che ha interessato quasi 74.000 firewall e gateway VPN FortiGate in tutto il mondo, portando alla luce le credenziali di amministratore e gli hash di autenticazione SSL VPN di 73.932 URL unici, distribuiti in 194 paesi: una cifra che i ricercatori stimano corrispondente a circa la metà di tutti i dispositivi FortiGate attualmente esposti su Internet. La scoperta è stata resa pubblica il weekend del 14-15 giugno dal ricercatore di sicurezza Volodymyr "Bob" Diachenko, che ha individuato l'infrastruttura del gruppo criminale esposta accidentalmente su un server, insieme ad altri artefatti e strumenti operativi. In Italia, anche l'Agenzia per la Cybersicurezza Nazionale ha diramato un avviso dedicato all'incidente.
La società di threat intelligence Hudson Rock ha analizzato il dataset confermando le dimensioni dell'esposizione: 73.932 URL unici di firewall colpiti, 21.632 domini interessati. Il ricercatore Kevin Beaumont, sul blog DoublePulsar ha verificato un campione dei dati confermando che le credenziali sono reali, che molti dei dispositivi analizzati eseguono versioni firmware relativamente recenti e che la struttura del dataset, organizzata per tipologia di azienda, fatturato e paese, è tipica dei gruppi eCrime specializzati nella vendita di accessi iniziali sul dark web.
Secondo la ricostruzione di Diachenko, dietro FortiBleed ci sarebbe un gruppo cybercriminale di lingua russa che ha condotto una campagna sistematica su larga scala. Il metodo operativo prevede la scansione automatizzata di dispositivi Fortinet esposti a Internet, l'intercettazione degli hash di autenticazione SSL VPN, che sono stati prima decifrati offline attraverso un cluster di 45 GPU gestito tramite Hashtopolis e poi riusati per muoversi lateralmente all'interno degli ambienti Active Directory delle organizzazioni colpite. I numeri dell'operazione danno la misura dell'ampiezza dell'attività: si stima che il gruppo abbia eseguito circa 1,16 miliardi di tentativi basati su credenziali contro oltre 320.000 target FortiGate, in parallelo a 2,1 miliardi di tentativi di brute force contro più di 160.000 server MSSQL.
La vulnerabilità alla base di FortiBleed riguarda il modo in cui i dispositivi conservano le password degli amministratori. Nelle versioni più recenti di FortiOS, Fortinet ha adottato un algoritmo di protezione delle credenziali più robusto (PBKDF2) che rende estremamente difficile risalire alla password originale, anche disponendo del file di configurazione del dispositivo. Il problema è che questo aggiornamento non avviene in automatico al momento dell'installazione del firmware: il sistema ricalcola l'hash della password solo quando l'amministratore effettua fisicamente il login dopo l'aggiornamento. Su tutti i dispositivi in cui questo passaggio non è avvenuto, le credenziali restano archiviate con il vecchio algoritmo (SHA-256), notevolmente più debole e attaccabile in tempi rapidi tramite i cluster GPU utilizzati dal gruppo.
I paesi con il maggior numero di dispositivi interessati sono India, Stati Uniti, Taiwan e Messico, con vittime su ogni continente. La lista delle organizzazioni presenti nel dataset comprende multinazionali di primo piano: Foxconn, Samsung, Siemens, Lenovo, Oracle, Accenture, PwC, Comcast, AT&T, Mercedes-Benz, Toyota, FedEx, Chevron. Figura nel dataset anche Fortinet stessa. Tra le organizzazioni colpite figurano numerose agenzie governative e realtà operanti in settori di infrastruttura critica; stando a quanto rilevato da Diachenko, almeno quattro organizzazioni in Giappone, Taiwan/Vietnam, Iraq e Turchia risultano pienamente compromesse, tra cui un contractor della difesa turco membro della NATO dalle cui reti sarebbero stati esfiltrati documenti classificati. SOCRadar segnala inoltre che il dataset include prevalentemente organizzazioni di paesi NATO, il che suggerisce motivazioni non solo economiche.
Un portavoce di Fortinet ha rilasciato una dichiarazione ufficiale a TechCrunch e The Register, che traduciamo di seguito: "Fortinet è a conoscenza di una campagna segnalata di credential harvesting condotta da terze parti e che prende di mira i firewall e i gateway VPN Fortinet”. Fortinet ha precisato che, sulla base della propria analisi, i dati coinvolti costituiscono "una ricondivisione di dati provenienti da incidenti precedenti, oltre a credenziali ottenute tramite brute force, e non sono correlati a nessun incidente o advisory recente."
Hudson Rock ha reso disponibile un lookup tool gratuito per verificare se i propri domini e indirizzi IP figurano nel dataset. In caso affermativo, il presupposto di partenza dev’essere quello dell’avvenuta compromissione, con conseguente verifica degli account compromessi, degli utenti backdoor e delle modifiche ai controlli di sicurezza.
Sul piano operativo, le azioni raccomandate dai ricercatori comprendono l'aggiornamento di FortiOS all'ultima release disponibile, la rimozione dell'interfaccia di gestione dall'accesso diretto a internet ove possibile, la rotazione di tutte le credenziali amministrative e VPN, l'abilitazione dell'autenticazione a più fattori su tutti gli account e il login da parte degli amministratori per forzare il ricalcolo degli hash nel formato PBKDF2. Per i dispositivi che eseguono FortiOS v7.2.x e v7.4.x, è possibile abilitare l'impostazione login-lockout-upon-weaker-encryption nella policy delle password di sistema per rimuovere completamente gli hash SHA-256 residui.