Một chiến dịch thu thập thông tin đăng nhập quy mô lớn, được đặt tên là “FortiBleed”, đang nhắm mục tiêu vào các thiết bị FortiGate. Hoạt động này không khai thác một lỗ hổng mới mà tận dụng các điểm yếu bảo mật đã được công bố trước đó kết hợp với việc sử dụng mật khẩu yếu và thiếu xác thực đa yếu tố (MFA).
Phạm vi và Ảnh hưởng của Cuộc Tấn công FortiBleed
Ước tính có tới 86.000 thiết bị FortiGate và VPN đối mặt với Internet trên 194 quốc gia có thể bị ảnh hưởng bởi FortiBleed. Đây là một trong những sự cố bảo mật Fortinet nghiêm trọng nhất từng được ghi nhận.
Điều quan trọng cần nhấn mạnh là FortiBleed không phải là một lỗ hổng zero-day. Các nhà nghiên cứu bảo mật xác định rằng tin tặc đang tái sử dụng thông tin đăng nhập bị lộ từ các sự cố trước đây, được theo dõi là FG-IR-26-060 và FG-IR-25-647.
Chiến thuật Tái sử dụng Thông tin Đăng nhập
Các tác nhân đe dọa kết hợp thông tin đăng nhập bị lộ với các kỹ thuật tấn công brute-force tăng tốc bằng AI. Mục tiêu là các thiết bị FortiGate được phơi bày ra Internet mà không có các biện pháp kiểm soát thông tin đăng nhập mạnh mẽ.
Công ty xác nhận chiến dịch này không liên quan đến bất kỳ việc tiết lộ lỗ hổng bảo mật gần đây nào. Các khách hàng đã hoàn thành các bước khắc phục từ các cảnh báo trước đó được cho là sẽ không bị ảnh hưởng.
Vector Tấn công Chính và Hành vi Sau Khai thác
Vector tấn công chính xoay quanh việc sử dụng thông tin đăng nhập quản trị và VPN yếu hoặc được tái sử dụng trên các thiết bị FortiGate. Sự thiếu vắng MFA làm trầm trọng thêm rủi ro này.
Sau khi giành quyền truy cập trái phép, hành vi khai thác được quan sát bao gồm:
- Thay đổi cấu hình trái phép.
- Tạo các tài khoản giả mạo. Các tên người dùng đáng ngờ bao gồm: “forticloud”, “fortiuser”, “fortinet-support”, và “fortinet-tech-support”.
- Tiềm năng di chuyển ngang vào các mạng nội bộ, đặc biệt là thông qua các môi trường tích hợp với Active Directory hoặc LDAP.
Khuyến cáo từ CISA
Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh báo khẩn cấp, kêu gọi các tổ chức tăng cường bảo mật cho các thiết bị Fortinet của họ. Khuyến cáo này được đưa ra sau các báo cáo về một chiến dịch phơi nhiễm thông tin đăng nhập quy mô lớn.
Bạn có thể tham khảo thêm thông tin chi tiết tại CISA Advisory AA23-103A.
Các Hành động Khắc phục Khuyến nghị
Fortinet khẩn trương kêu gọi tất cả khách hàng FortiGate thực hiện các hành động sau ngay lập tức:
Hành động Ưu tiên
- Cập nhật bản vá cho các thiết bị FortiGate của bạn.
- Tắt bất kỳ dịch vụ nào không cần thiết, đặc biệt là các dịch vụ web có thể bị lộ ra Internet.
- Thay đổi tất cả mật khẩu quản trị và đảm bảo chúng mạnh và duy nhất.
- Triển khai xác thực đa yếu tố (MFA) cho tất cả các truy cập quản trị và VPN.
Xử lý khi Phát hiện Bất thường
Các tổ chức phát hiện bất kỳ thay đổi cấu hình trái phép nào, người dùng VPN không xác định, hoặc các yêu cầu đặt lại mật khẩu bất thường nên coi thiết bị của họ là đã bị xâm phạm hoàn toàn.
Fortinet khuyến nghị tuân theo hướng dẫn phục hồi sự cố đã công bố. Nếu có tích hợp AD/LDAP, các tài khoản liên quan cũng cần được xem xét là bị xâm phạm và cần giám sát thư mục cho các hoạt động đăng nhập bất thường hoặc việc tạo tài khoản mới.
Đối với các tổ chức nghi ngờ mạng nội bộ bị xâm phạm, nhóm ứng phó sự cố FortiGuard của Fortinet sẵn sàng hỗ trợ. Việc này rất quan trọng để ngăn chặn xâm nhập trái phép và giảm thiểu rủi ro bảo mật.
Tầm quan trọng của Việc Tuân thủ và Các Biện pháp Phòng ngừa
Chiến dịch này nhấn mạnh tầm quan trọng tối cao của việc hoàn thành kịp thời các bước khắc phục do nhà cung cấp ban hành. Việc thực thi nhất quán MFA và các chính sách mật khẩu mạnh trên tất cả các giao diện quản trị là yếu tố then chốt để ngăn chặn các cuộc tấn công tương tự.
Việc cập nhật bản vá và duy trì các cấu hình an toàn là những biện pháp cốt lõi trong chiến lược an ninh mạng tổng thể của mọi tổ chức.
