Fortinet pod palbou útočníků: organizace by měly prověřit firewally a VPN zařízení
Bezpečnostní experti upozorňují na globální kampaň zaměřenou na přihlašovací údaje a zařízení FortiGate
Organizace využívající Fortinet FortiGate a VPN brány by měly zvýšit pozornost. Bezpečnostní komunita upozorňuje na rozsáhlou kampaň, při níž útočníci cílí na veřejně dostupná síťová zařízení a snaží se získat přístupové údaje pomocí automatizovaných útoků.
Podle dostupných informací již došlo ke zveřejnění databáze kompromitovaných přihlašovacích údajů, což může představovat zvýšené riziko pro organizace, jejichž zařízení byla zasažena.
Útočníci využívají známé techniky proti přihlašovacím údajům
Kampaň se zaměřuje především na internetově dostupné firewally a VPN portály Fortinet. Útočníci využívají kombinaci několika metod:
- brute-force útoky, při nichž automaticky zkoušejí velké množství hesel,
- slovníkové útoky, využívající běžně používaná hesla,
- credential stuffing, tedy pokusy o přihlášení pomocí přihlašovacích údajů uniklých z jiných služeb.
Právě opakované používání stejných hesel napříč různými systémy výrazně zvyšuje pravděpodobnost úspěšného průniku.
Proč představuje útok vysoké riziko
Firewall nebo VPN brána tvoří vstupní bod do firemní infrastruktury. Pokud útočník získá administrátorský přístup, může následně:
- získat přístup do interní sítě,
- pohybovat se mezi dalšími systémy,
- odcizit citlivá data,
- připravit půdu pro ransomware nebo jiné cílené útoky.
Proto je důležité nepodceňovat ani zdánlivě běžné pokusy o přihlášení a pravidelně kontrolovat stav těchto zařízení.
Co by měly organizace udělat
Organizacím využívajícím zařízení Fortinet se doporučuje co nejdříve provést bezpečnostní kontrolu a ověřit, zda jejich infrastruktura nevykazuje známky kompromitace.
Mezi prioritní kroky patří:
- ověřit, zda zařízení nebylo součástí zveřejněných seznamů kompromitovaných systémů,
- zkontrolovat logy a hledat neobvyklé aktivity nebo neoprávněně vytvořené administrátorské účty,
- v případě podezření zařízení okamžitě odpojit od internetu i interní sítě,
- prověřit další systémy, které mohly sdílet stejné přihlašovací údaje,
- analyzovat síťový provoz kvůli případnému laterálnímu pohybu útočníka.
Pokud existují důkazy o kompromitaci, samotná změna hesel nemusí být dostačující. V některých případech může být nutné zařízení obnovit do továrního nastavení a následně jej znovu bezpečně nakonfigurovat.
Nepodceňujte preventivní opatření
Bez ohledu na to, zda byla organizace zasažena, doporučuje se provést několik preventivních kroků, které významně snižují riziko podobných útoků:
- aktualizovat zařízení na nejnovější podporovanou verzi firmwaru,
- neponechávat administrační rozhraní veřejně dostupná z internetu,
- používat jedinečná a silná administrátorská hesla,
- zapnout vícefaktorové ověřování (MFA) pro správu zařízení i VPN přístupy,
- vyřadit z provozu zařízení, která již nejsou výrobcem podporována.
Ochrana perimetru zůstává klíčová
Síťové firewally a VPN brány představují jednu z nejdůležitějších součástí podnikové bezpečnosti. Právě proto patří mezi nejčastější cíle útočníků, kteří hledají cestu do firemních sítí.
Pravidelné aktualizace, průběžný monitoring bezpečnostních událostí a důsledná správa přístupových údajů patří mezi základní opatření, která mohou významně snížit riziko úspěšného útoku.