Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
FortiBleed to nazwa rozległej kampanii ukierunkowanej na urządzenia FortiGate, której celem jest pozyskiwanie poświadczeń administracyjnych i danych dostępowych z wykorzystaniem przejętych zapór sieciowych oraz usług VPN. Zagrożenie wpisuje się w coraz bardziej widoczny trend nadużywania infrastruktury brzegowej jako punktu wejścia do środowisk firmowych.
Z perspektywy obrońców jest to szczególnie niebezpieczny scenariusz, ponieważ atakujący nie ograniczają się do jednorazowego przejęcia dostępu. Budują oni skalowalny model operacyjny służący masowemu zbieraniu poświadczeń, ich walidacji oraz dalszemu wykorzystaniu w kolejnych etapach ataku.
W skrócie
Kampania FortiBleed objęła bardzo dużą liczbę urządzeń FortiGate i doprowadziła do identyfikacji ogromnego zbioru poświadczeń przetwarzanych w licznych strumieniach zbierania danych. Atakujący wykorzystywali brute force wobec SSH, credential stuffing przeciwko portalom SSL-VPN oraz legalne funkcje diagnostyczne FortiOS do pasywnego przechwytywania ruchu uwierzytelniającego.
- celem były głównie urządzenia FortiGate wystawione na styku Internetu i sieci wewnętrznej,
- atakujący łączyli rozpoznanie, przejęcie dostępu i pasywne przechwytywanie poświadczeń,
- kampania była wspierana przez rozproszoną infrastrukturę do łamania hashy z użyciem GPU,
- w co najmniej jednym przypadku działania miały prowadzić do naruszenia organizacji z sektora obronnego.
Charakter operacji sugeruje dojrzały model działania zbliżony do brokera początkowego dostępu, czyli podmiotu wyspecjalizowanego w pozyskiwaniu i dalszej odsprzedaży wejść do środowisk ofiar.
Kontekst / historia
Urządzenia FortiGate od lat pozostają atrakcyjnym celem dla cyberprzestępców i aktorów powiązanych z działalnością wywiadowczą. Zapory, koncentratory VPN i interfejsy administracyjne pełnią funkcję krytycznych elementów infrastruktury perymetrycznej, dlatego ich kompromitacja może zapewnić zarówno wgląd w ruch sieciowy, jak i możliwość dalszej eskalacji.
W analizowanej kampanii badacze odtworzyli rozwój operacji od pojedynczego publicznie dostępnego katalogu do rozbudowanej infrastruktury obejmującej wiele dodatkowych serwerów. Skala i organizacja zaplecza wskazują, że nie była to krótkotrwała akcja oportunistyczna, ale przemyślana operacja o globalnym zasięgu.
Szczególnie często zagrożenie dotykało małe i średnie organizacje oraz dostawców usług IT. To logiczny wybór z perspektywy napastników, ponieważ kompromitacja jednego podmiotu obsługującego wielu klientów może zapewnić efekt mnożnikowy i otworzyć drogę do dalszych środowisk.
Analiza techniczna
Najistotniejszym elementem FortiBleed jest kompletny, wieloetapowy łańcuch ataku. Operacja zaczynała się od masowego rozpoznania. Operatorzy wykorzystywali narzędzia do skanowania portów, pasywną korelację danych oraz własne komponenty służące do filtrowania wyników i potwierdzania, że wskazane cele rzeczywiście są urządzeniami FortiGate.
Dostęp początkowy był uzyskiwany przede wszystkim dwiema ścieżkami. Pierwsza polegała na brutalnym odgadywaniu haseł do SSH z użyciem list przygotowanych pod typowe konwencje nazw kont administracyjnych. Druga opierała się na credential stuffingu wobec portali SSL-VPN, czyli testowaniu wcześniej wyciekłych loginów i haseł w nadziei, że użytkownicy ponownie wykorzystali te same dane.
Po przejęciu urządzenia atakujący nie musieli wdrażać klasycznego złośliwego oprogramowania. Zamiast tego nadużywali natywnego polecenia diagnostycznego dostępnego w FortiOS, które pozwala na pasywne przechwytywanie ruchu pakietowego. Dzięki temu mogli obserwować dane uwierzytelniające przesyłane w różnych protokołach, takich jak Kerberos, RADIUS, NTLM, RDP, LDAP czy MSSQL.
Taka technika jest wyjątkowo niebezpieczna, ponieważ bazuje na legalnej funkcji administracyjnej. W organizacjach, które nie monitorują wykorzystania poleceń diagnostycznych na urządzeniach brzegowych, aktywność ta może przez długi czas nie wzbudzać podejrzeń.
Zebrane hashe i artefakty uwierzytelniające były następnie przesyłane do rozproszonej infrastruktury crackingowej. Wykorzystanie klastrów GPU zarządzanych centralnie pozwalało znacząco skrócić czas między przechwyceniem materiału a uzyskaniem użytecznych danych logowania w postaci jawnej lub możliwej do dalszego wykorzystania.
Kolejnym etapem był ruch boczny w środowiskach opartych na Active Directory. Po złamaniu hashy możliwe stawało się przechodzenie do systemów domenowych, udziałów sieciowych oraz repozytoriów kopii zapasowych. W opisywanym przypadku naruszenia organizacji z sektora obronnego działania eksfiltracyjne miały zostać uruchomione bardzo szybko po odzyskaniu danych Kerberos, co pokazuje wysoki poziom automatyzacji.
Na uwagę zasługuje również profil infrastruktury operatorów. Badacze opisali segmentację serwerów według ról, obejmującą agregację danych, walidację poświadczeń, wdrażanie snifferów i rotację proxy. Taki model działania sugeruje dobrze zorganizowane zaplecze zdolne do prowadzenia kampanii na dużą skalę.
Konsekwencje / ryzyko
Ryzyko związane z FortiBleed wykracza daleko poza pojedyncze naruszenie urządzenia perymetrycznego. Po przejęciu FortiGate atakujący może stać się trudnym do wykrycia obserwatorem ruchu uwierzytelniającego przechodzącego przez krytyczny punkt infrastruktury.
W praktyce oznacza to możliwość stopniowego gromadzenia danych dostępowych do systemów domenowych, usług zdalnego dostępu, baz danych oraz aplikacji wewnętrznych. Skutki dla organizacji mogą obejmować przejęcie kont uprzywilejowanych, trwały dostęp do sieci, ruch boczny, wyciek danych, kompromitację kopii zapasowych oraz przygotowanie środowiska pod wdrożenie ransomware.
Szczególnie zagrożone są firmy z sektora MSP, integratorzy IT oraz podmioty posiadające rozbudowany dostęp do środowisk klientów. Skuteczny atak na jednego dostawcę może bowiem otworzyć drogę do wielu kolejnych ofiar.
Dodatkowym problemem pozostaje niski próg wykrywalności. Nadużycie legalnych funkcji diagnostycznych nie generuje tych samych wskaźników co klasyczne malware, dlatego bez szczegółowego monitoringu logów administracyjnych i zdarzeń VPN kampania może pozostawać aktywna przez długi czas.
Rekomendacje
Organizacje korzystające z FortiGate powinny potraktować tego typu scenariusz jako potencjalną kompromitację tożsamości, a nie wyłącznie incydent dotyczący urządzenia sieciowego. W pierwszej kolejności warto przeprowadzić pełną rotację wszystkich poświadczeń związanych z interfejsami administracyjnymi, kontami lokalnymi oraz dostępem VPN.
Kluczowe jest również wymuszenie wieloskładnikowego uwierzytelniania dla dostępu administracyjnego i zdalnego oraz ograniczenie ekspozycji interfejsów zarządzających wyłącznie do wydzielonych sieci administracyjnych lub bezpiecznego dostępu pośredniego. Interfejsy zarządzania nie powinny być dostępne bezpośrednio z Internetu.
- monitorować logowania SSH i SSL-VPN pod kątem brute force oraz credential stuffingu,
- alertować na uruchamianie poleceń diagnostycznych i sniffingu pakietów,
- regularnie analizować integralność konfiguracji urządzeń FortiGate,
- korelować logi z zapór z systemami SIEM i EDR,
- przeglądać konta uprzywilejowane pod kątem nietypowej aktywności,
- zweryfikować ruch boczny w Active Directory oraz stan repozytoriów backupów,
- zresetować hasła kont serwisowych i przeprowadzić rotację sekretów używanych przez automatyzację.
Jeżeli istnieją jakiekolwiek przesłanki wskazujące na przejęcie urządzenia, działania naprawcze powinny objąć nie tylko sam FortiGate, ale także wszystkie systemy, których poświadczenia mogły zostać przechwycone podczas operacji.
Podsumowanie
FortiBleed pokazuje, jak skuteczne może być połączenie prostych metod uzyskania dostępu z kreatywnym nadużyciem legalnych funkcji administracyjnych. Atakujący nie potrzebowali rozbudowanego malware na urządzeniu końcowym, aby zbudować wydajną operację masowego pozyskiwania poświadczeń.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona infrastruktury perymetrycznej musi obejmować nie tylko aktualizacje i twardą konfigurację, ale również aktywne wykrywanie nadużyć funkcji diagnostycznych, monitorowanie tożsamości oraz szybkie procedury rotacji poświadczeń. FortiGate należy dziś traktować nie tylko jako zaporę, lecz jako zasób krytyczny o bezpośrednim wpływie na bezpieczeństwo całego środowiska.