Parole compromise la firewall și VPN: ce trebuie să verifice urgent companiile
FortiBleed: un nou semnal de alarmă pentru companiile care folosesc firewall-uri și VPN-uri expuse la internet
În ultimele zile, comunitatea de securitate cibernetică a atras atenția asupra unei campanii de compromitere la scară foarte mare care vizează dispozitive Fortinet / FortiGate, folosite de companii pentru firewall, VPN și acces securizat la rețea.
Incidentul, denumit de cercetători „FortiBleed”, este important nu doar prin dimensiune, ci mai ales prin mesajul pe care îl transmite: uneori, atacatorii nu au nevoie de o vulnerabilitate nouă ca să intre într-o companie. Le ajunge o parolă veche, reutilizată sau rămasă neschimbată după un incident anterior.
Ce s-a întâmplat?
Conform informațiilor publicate de mai multe surse din zona de cybersecurity, au fost descoperite credentiale asociate cu zeci de mii de firewall-uri și gateway-uri VPN Fortinet, din aproape 200 de țări.
Datele expuse ar include nume de utilizator, adrese de email și parole sau credentiale de acces pentru echipamente conectate direct la internet. Printre organizațiile menționate în rapoarte apar companii mari, instituții publice, furnizori de infrastructură critică și organizații din industrii precum telecomunicații, energie, producție, servicii IT, financiar, educație și sănătate.
Deși numele mari atrag atenția, lecția este la fel de importantă pentru IMM-uri. Atacatorii nu aleg doar companii globale. Ei scanează internetul automat, caută echipamente expuse și testează credentiale cunoscute, refolosite sau slabe.
De ce este acest incident atât de important?
Firewall-ul și VPN-ul sunt, în multe companii, poarta principală de intrare în rețea. Prin VPN se conectează angajați, administratori, furnizori externi sau echipe tehnice. Dacă un atacator obține acces la aceste echipamente, riscul nu se oprește la firewall.
De acolo, poate încerca să intre mai departe în rețeaua internă, să caute servere, stații de lucru, sisteme ERP/CRM, fișiere partajate, baze de date sau conturi administrative.
Practic, o parolă compromisă la nivel de firewall sau VPN poate deveni începutul unui atac mult mai grav: furt de date, ransomware, spionaj industrial, oprirea activității sau compromiterea emailurilor companiei.
Nu este doar o problemă de „brand” sau de echipament
- Este important de înțeles că problema nu trebuie privită doar ca „o problemă Fortinet”. Mesajul real este mai larg: orice echipament expus la internet, indiferent de producător, devine o țintă dacă nu este administrat corect.
- Atacatorii profită de lucruri simple:
- parole neschimbate de ani de zile;
- conturi administrative expuse public;
- lipsa autentificării multifactor;
- firmware neactualizat;
- acces VPN folosit fără reguli clare;
- conturi vechi care nu au fost dezactivate;
- lipsa monitorizării logurilor.
- În multe atacuri moderne, punctul slab nu mai este tehnologia în sine, ci modul în care este configurată, actualizată și verificată în timp.
