FortiBleed raakt tienduizenden Fortinet-systemen
Beveiligingsonderzoekers en nationale cybersecurityorganisaties slaan alarm over een omvangrijke cybercampagne die de naam 'FortiBleed' heeft meegekregen. Aanvallers proberen op grote schaal binnen te dringen bij Fortinet FortiGate-firewalls en SSL-VPN-omgevingen. Wereldwijd zijn naar schatting 30.000 tot ruim 70.000 apparaten doelwit van de aanval. Organisaties die gebruikmaken van Fortinet-apparatuur worden dringend opgeroepen hun systemen te controleren op sporen van misbruik.
Geen nieuw datalek, wel hergebruik van gegevens
Uit de eerste analyses blijkt volgens NCSC dat de cybercriminelen op dit moment geen gebruikmaken van een nieuw, onbekend lek (een zogenaamde zero-day kwetsbaarheid). In plaats daarvan zetten de aanvallers massaal eerder gestolen of gelekte inloggegevens in.
Onderzoekers hebben verschillende datasets aangetroffen waarin geldige combinaties van gebruikersnamen, e-mailadressen en wachtwoorden staan. De criminelen gebruiken geautomatiseerde technieken zoals 'credential stuffing' (het systematisch uitproberen van gelekte inloggegevens op andere systemen) en 'brute-force-aanvallen' (het razendsnel achter elkaar proberen van veel verschillende wachtwoorden) om toegang te forceren.
Verkeer onderschept voor verdere netwerkinfiltratie
Zodra de aanvallers erin slagen om initiële toegang tot een Fortinet-apparaat te krijgen, gaan ze geraffineerd te werk. Onderzoekers hebben in meerdere gevallen gezien dat de aanvallers direct 'packet captures' starten. Dit betekent dat zij het digitale netwerkverkeer van en naar het Fortinet-apparaat onderscheppen.
Met deze methode proberen de criminelen aanvullende inlog- en authenticatiegegevens buit te maken. Het uiteindelijke doel van deze spionageactiviteiten is om dieper door te dringen tot het interne bedrijfsnetwerk, met alle risico's van dien voor de getroffen organisatie.
Omvang nog onduidelijk: activeer het handelingsperspectief
Verschillende instanties hebben al meerdere organisaties geïnformeerd over het feit dat hun inloggegevens in de gelekte datasets zijn aangetroffen. Omdat de volledige omvang van de FortiBleed-campagne echter nog niet in kaart is gebracht, is de kans groot dat nog niet alle getroffen bedrijven en instellingen zijn bereikt. Het advies is dan ook om via de beschikbare officiële controlewebsites actief te controleren of de eigen organisatiedata in de bekende datasets voorkomt.
Omdat het per organisatie verschilt wat de aanvallers na de eerste inbraak hebben gedaan, moeten systeembeheerders zelf een risico- en impactanalyse uitvoeren. Cybersecurityorganisaties adviseren de volgende maatregelen te nemen:
Controleer de logs op afwijkend gedrag: Inspecteer VPN-, authenticatie- en beheerlogs (waaronder Fortinet, Active Directory, LDAP, RADIUS en SSH) nauwkeurig op mislukte inlogpogingen, onbekende IP-adressen, vreemde locaties en ongebruikelijke inlogtijden.
Controleer op nieuwe accounts: Ga na of er onverklaarbaar nieuwe Fortinet-accounts, domeinaccounts, lokale accounts, serviceaccounts of SSH-accounts zijn aangemaakt.
Reset wachtwoorden en sleutels: Overweeg een preventieve reset van alle wachtwoorden en authenticatiemiddelen (inclusief SSH-sleutels) voor zowel beheerders als reguliere gebruikers. Dit is extra belangrijk vanwege de geobserveerde diefstal van netwerkverkeer.
Beperk de toegang: Controleer of SSH-toegang op de apparatuur is ingeschakeld en beoordeel of directe blootstelling aan het openbare internet noodzakelijk is. Beperk beheerinterfaces waar mogelijk via IP-whitelisting tot interne beheeromgevingen of specifiek geautoriseerde IP-adressen. Het verplicht stellen van Multi-Factor Authenticatie (MFA) voor alle accounts is hierbij een cruciale barrière.
De cybersecuritysector volgt de ontwikkelingen rondom FortiBleed op de voet en zal updates publiceren zodra er nieuwe details over de werkwijze van de aanvallers bekend worden.
