В LinkedIn появился пост от ИБ-специалиста Владимира Дьяченко, в котором он сообщает, что в открытом доступе обнаружены пароли для брандмауэров Fortinet, пишет DoublePulsar.
В DoublePulsar подтвердили: данные достоверны. Речь идёт примерно о 74 тыс. устройств. Почти все они до сих пор в сети, в том числе устройства Fortinet. Судя по всему, данные были получены в результате экспорта конфигураций с устройств.
IP-адреса в значительной степени отличаются от тех, что были в утечке Belsen Group, где фигурировало 15 тыс. устройств. В основном это устройства, не попавшие в утечку Belsen Group, и в данном случае большинство устройств всё ещё подключены к сети — это не данные за 2022 год.
Данные включают в себя примерно 50% всех брандмауэров Fortinet, подключенных к интернету. В большинстве случаев интерфейс управления Fortigate на уязвимых устройствах открыт для доступа из интернета, подтверждает DoublePulsar.
С помощью этой информации злоумышленники могут удалённо войти в систему и получить доступ к брандмауэру, а значит, и к сети. Они также могут изменять настройки, в том числе параметры безопасности, и создавать пользователей с бэкдором.
Пока неясно, как именно были экспортированы конфигурации или получен доступ к устройствам. Возможно, это одна из множества известных уязвимостей брандмауэров Fortinet, а может быть, и новая уязвимость, пишет DoublePulsar.
Организациям следует проверить, затронута ли их система. Это можно сделать здесь: https://www.hudsonrock.com/fortinet. Если система затронута, то нужно немедленно сменить пароли для VPN-сервисов Fortinet и административных интерфейсов, убедиться, что учётные данные сотрудников не были скомпрометированы, а на случай взлома внедрить многофакторную аутентификацию для всех администраторов.
ссылка на оригинал статьи https://habr.com/ru/articles/1050486/