
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
FortiBleed to szeroko zakrojona kampania kradzieży poświadczeń wymierzona przede wszystkim w urządzenia Fortinet wystawione do internetu, w tym zapory FortiGate oraz bramy SSL VPN. Najnowsze ustalenia wskazują, że nie chodzi wyłącznie o masowe zbieranie danych logowania, ale o element większego łańcucha ataku, który może prowadzić do wdrożeń ransomware.
To istotna zmiana w ocenie zagrożenia. FortiBleed należy postrzegać nie tylko jako incydent związany z wyciekiem haseł, lecz jako operację wspierającą uzyskiwanie dostępu początkowego, a następnie monetyzację tego dostępu przez grupy szyfrujące.
W skrócie
Badacze powiązali kampanię FortiBleed z ekosystemem ransomware związanym z grupami INC oraz Lynx. Według ustaleń operator mający dostęp do infrastruktury kampanii był również zalogowany do paneli negocjacyjnych używanych przez te operacje.
- celem były tysiące urządzeń Fortinet dostępnych z internetu,
- atakujący przechwytywali ruch uwierzytelniający i budowali bazę zweryfikowanych poświadczeń,
- kampania mogła wspierać dalsze wdrożenia ransomware,
- w części analiz pojawia się także możliwy wątek luki zero-day w Nextcloud.
Kontekst / historia
Ataki na urządzenia brzegowe mają szczególne znaczenie strategiczne, ponieważ firewall lub koncentrator VPN stanowi uprzywilejowany punkt obserwacji ruchu i kontroli dostępu do sieci organizacji. Kompromitacja takiego systemu może umożliwić przechwytywanie poświadczeń, analizę ruchu administracyjnego oraz przygotowanie kolejnych etapów intruzji.
FortiBleed wpisuje się w szerszy trend, w którym cyberprzestępcy łączą wiele technik: wykorzystują stare wycieki danych logowania, ataki brute force, błędną higienę haseł, brak wieloskładnikowego uwierzytelniania oraz sniffing ruchu na urządzeniach perymetrycznych. Taki model pozwala ominąć założenie, że zagrożenie musi wynikać wyłącznie z jednej nowej podatności.
Dodatkowy kontekst daje stanowisko producenta, według którego obserwowana aktywność nie musi oznaczać nowej podatności w produktach Fortinet. Oznacza to, że część organizacji może być narażona z powodu wcześniej skompromitowanych danych dostępowych, słabych haseł lub nadmiernej ekspozycji usług zarządzania do internetu.
Analiza techniczna
Z technicznego punktu widzenia FortiBleed wygląda na operację wielowarstwową. Pierwszym etapem było uzyskanie lub potwierdzenie dostępu do urządzeń Fortinet. Następnie wykorzystywano niestandardowe narzędzie napisane w Go do przechwytywania ruchu uwierzytelniającego.
To podejście jest szczególnie niebezpieczne na urządzeniach perymetrycznych, przez które przechodzi ruch administracyjny oraz zdalny dostęp użytkowników. W efekcie napastnicy mogli nie tylko kraść dane, ale także operacyjnie je walidować i budować bazę działających poświadczeń o wysokiej wartości.
Taka baza ma duże znaczenie dla brokerów początkowego dostępu. Zweryfikowane konta można szybko wykorzystać we własnych działaniach post-exploitation albo przekazać operatorom ransomware, skracając czas między kompromitacją a właściwym atakiem szyfrującym.
W analizach pojawia się także możliwa rola luki zero-day w Nextcloud. Na obecnym etapie wygląda jednak na to, że ewentualna podatność mogła pełnić funkcję pomocniczą, wspierając rozszerzenie dostępu lub elementy infrastrukturalne po początkowym przejęciu środowiska, a nie być jedynym wektorem wejścia.
Szczególnie ważna jest sama atrybucja. Powiązanie FortiBleed z INC i Lynx nie opiera się wyłącznie na podobieństwach taktyk, technik i procedur, ale na relacjach operacyjnych wskazujących na wspólne zaplecze lub bezpośrednie wsparcie kampanii ransomware. To wzmacnia ocenę, że harvesting poświadczeń był częścią większego łańcucha monetyzacji dostępu.
Konsekwencje / ryzyko
Ryzyko dla organizacji jest wysokie. Kompromitacja urządzenia brzegowego daje atakującemu szeroką widoczność ruchu i umożliwia pozyskiwanie kolejnych poświadczeń, w tym uprzywilejowanych. Przejęcie kont administracyjnych na firewallach i VPN-ach może z kolei prowadzić do trwałych zmian konfiguracji, tworzenia nowych użytkowników, modyfikacji polityk bezpieczeństwa oraz ukrywania aktywności napastnika.
Jeżeli zebrane dane trafiają do ekosystemu ransomware, organizacja może bardzo szybko przejść od incydentu związanego z logowaniem do pełnoskalowego ataku obejmującego szyfrowanie systemów, wyciek danych i wymuszenie okupu. Problemem jest także możliwość błędnej oceny skali naruszenia, gdy incydent wydaje się dotyczyć pojedynczego konta, podczas gdy faktycznie naruszony został kluczowy punkt kontroli komunikacji zewnętrznej.
- ryzyko przestoju operacyjnego,
- utrata danych i eskalacja dostępu,
- koszty reakcji incydentowej i odtworzenia środowiska,
- presja negocjacyjna związana z ransomware,
- możliwość dalszego ruchu bocznego w sieci.
Rekomendacje
Organizacje powinny potraktować każde urządzenie Fortinet dostępne z internetu jako zasób podwyższonego ryzyka i zweryfikować je pod kątem nieautoryzowanych zmian konfiguracji, nowych kont administracyjnych, nietypowych reguł, zmian w politykach VPN oraz śladów przechwytywania ruchu.
- natychmiast zresetować hasła administracyjne oraz poświadczenia VPN,
- wymusić MFA dla administratorów i użytkowników zdalnych,
- przejrzeć wszystkie konta lokalne i federowane pod kątem nieautoryzowanych dodatków,
- ograniczyć lub całkowicie wyłączyć ekspozycję interfejsów zarządzania do internetu,
- przeanalizować logi uwierzytelniania pod kątem anomalii, prób brute force i nietypowych lokalizacji logowania,
- sprawdzić integralność konfiguracji urządzeń oraz wykonać eksport konfiguracji do analizy offline,
- przeprowadzić rotację poświadczeń kont technicznych, usługowych i integracyjnych,
- odseparować dostęp administracyjny do wydzielonych sieci lub bezpiecznych kanałów pośrednich.
W przypadku podejrzenia kompromitacji sama zmiana hasła może nie wystarczyć. Należy założyć możliwość utrwalenia obecności, obejścia polityk bezpieczeństwa oraz dalszego ruchu bocznego. Zasadne jest pełne postępowanie IR obejmujące analizę artefaktów, pamięci, logów oraz weryfikację kont uprzywilejowanych w środowiskach lokalnych i chmurowych.
Jeżeli organizacja korzysta z Nextcloud, warto równolegle sprawdzić poziom aktualizacji, logi aplikacyjne oraz nietypowe działania administracyjne. Nawet jeśli rola tej platformy nie jest jednoznacznie potwierdzona we wszystkich przypadkach, ostrożnościowa weryfikacja pozostaje uzasadniona.
Podsumowanie
FortiBleed to kampania, której znaczenie wykracza poza klasyczną kradzież haseł. Powiązania z operacjami ransomware INC i Lynx pokazują, że skompromitowane urządzenia Fortinet mogą stanowić źródło dostępu dla dalszych etapów ataku, w tym szyfrowania środowisk i wymuszeń finansowych.
Dla obrońców najważniejszy wniosek jest jednoznaczny: bezpieczeństwo urządzeń perymetrycznych należy oceniać nie tylko przez pryzmat łatania podatności, ale również higieny poświadczeń, ograniczania ekspozycji usług, monitoringu konfiguracji oraz gotowości do pełnej reakcji incydentowej.
Źródła
- https://www.cybersecuritydive.com/news/fortibleed-campaign-traced-to-inc-and-lynx-ransomware-operations/824348/
- https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
- https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
- https://socradar.io/blog/what-is-fortibleed/
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog