Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
18.01.2025

Хакеры получили полный контроль над 15 000 устройств FortiGate

15 января исследователь безопасности Кевин Бомонт сообщил об утечке конфигурационных файлов и информации VPN для 15 000 устройств FortiGate . Данные, содержащие имена пользователей, пароли (в том числе в открытом виде), сертификаты управления устройствами и правила настройки межсетевого экрана, были выложены в даркнете.

Согласно отчету компании CloudSEK , за утечкой стоит новая хакерская группа Belsen Group. Затронутые устройства в основном работают на версиях FortiOS 7.0.x и 7.2.x. CloudSEK и Бомонт пришли к выводу, что утечка связана с эксплуатацией Zero-Day CVE-2022-40684 (оценка CVSS: 9.8), обнаруженной в 2022 году. Ошибка позволяла хакерам обходить аутентификацию через специально созданные HTTP или HTTPS-запросы.

Belsen Group действует на киберпреступной арене уже несколько лет. По мнению CloudSEK, группа могла участвовать в эксплуатации нулевого дня ещё в 2022 году. Большинство данных было собрано в октябре 2022 года, когда уязвимость ещё не была классифицирована. Географически утечка затронула США, Великобританию, Польшу и Бельгию — в этих странах более 20 организаций оказались скомпрометированы. Франция, Испания, Малайзия, Нидерланды, Таиланд и Саудовская Аравия также находятся в списке пострадавших.

Бомонт подтвердил подлинность утечки, сопоставив IP-адреса и конфигурации устройств через Shodan. Последствия атаки включают:

  • утечку конфиденциальных учетных данных;
  • раскрытие конфигураций межсетевых экранов, что упрощает обход защиты;
  • компрометацию цифровых сертификатов, что позволяет получить несанкционированный доступ к устройствам.

Организациям рекомендуется принять следующие меры:

  1. Сменить все учетные данные, особенно те, что фигурируют в утечке;
  2. Проверить конфигурации устройств на наличие уязвимостей и усилить контроль доступа;
  3. Отозвать и заменить скомпрометированные цифровые сертификаты;
  4. Провести аудит и расследование инцидентов , чтобы выявить возможные последствия компрометации в 2022 году.

Тем временем, Fortinet недавно раскрыла ещё одну уязвимость нулевого дня — CVE-2024-55591 (оценка CVSS: 9.8), которая затрагивает устройства FortiGate на FortiOS версий 7.0.0–7.0.16 и 7.2.0–7.2.12. Хотя уязвимость не связана напрямую с атакой Belsen Group, эксперты предупреждают, что злоумышленники могут использовать схожие методы.

Параллельно компания Arctic Wolf выявила масштабную кампанию эксплуатации FortiGate, начавшуюся в декабре 2024 года. Связь с утечкой данных пока не установлена. Fortinet и Arctic Wolf воздержались от комментариев по ситуации.