Os cibercriminosos comprometeram dezenas de milhares de firewalls e VPNs da Fortinet usados por grandes empresas em todo o mundo, de acordo com duas empresas de segurança cibernética.
A campanha generalizada de hackers, que está em andamento e foi apelidada de FortiBleed, parece não envolver o abuso de qualquer vulnerabilidade desconhecida nos dispositivos visados, mas sim uma questão mais básica: as empresas podem não estar alterando as senhas do firewall, nem garantindo que as credenciais que usam para sistemas sensíveis expostos na Web já não sejam conhecidas pelos hackers.
Nesta campanha, os hackers estão primeiro usando ferramentas automatizadas para verificar a Web em busca de firewalls e VPNs Fortinet expostos. Em seguida, eles invadem os dispositivos graças a listas de senhas já conhecidas. Nesse ponto, os cibercriminosos podem roubar dados mais confidenciais das empresas vítimas, empresas de segurança cibernética Rocha Hudson e SOCRadar escreveram em seus relatórios que publicaram esta semana.
“Uma vez que um dispositivo é comprometido, [the hackers] use-o como um posto de escuta, monitorando o tráfego que passa e coletando quaisquer credenciais adicionais que passem. Essas senhas recém-coletadas são então devolvidas ao scanner para comprometer ainda mais dispositivos. O sistema se alimenta sozinho”, escreveu SOCRadar.
A porta-voz da Fortinet, Tiffany Curci, disse ao TechCrunch que a empresa “está ciente de uma campanha relatada de coleta de credenciais de terceiros visando firewalls e gateways VPN da Fortinet”. A Fortinet disse que, com base na análise da empresa, os dados envolvidos são “um novo compartilhamento de dados de incidentes anteriores, bem como força bruta de credenciais, e não estão relacionados a nenhum incidente ou aviso recente”.
Hudson Rock disse ter encontrado evidências que sugerem que mais de 73.000 URLs exclusivos da Fortinet foram hackeados, enquanto a SOCRadar disse que o whole de dispositivos hackeados é superior a 30.000.
De acordo com Hudson Rock, as empresas hackeadas incluem: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens e PwC.
Um porta-voz da Lenovo acusou o recebimento do pedido de comentário do TechCrunch, mas não respondeu. Nenhuma das outras empresas respondeu a um pedido de comentário.
De acordo com Hudson Rock e SOCRadar, os países com dispositivos mais afetados são Índia, Estados Unidos, Taiwan e México. Mas ambas as empresas afirmam que há vítimas em todo o mundo. Quanto às indústrias, as mais afetadas são os serviços de TI, materiais de construção e telecomunicações, segundo Hudson Rock. Agências governamentais também estão entre as vítimas, segundo SOCRadar. Ambas as empresas de segurança cibernética disseram que o grupo por trás da campanha de hackers parece falar russo.
Os relatórios da Hudson Rock e da SOCRadar são baseados na descoberta de uma lista de credenciais para dispositivos Fortinet e empresas associadas. Esta campanha de hackers foi relatado pela primeira vez pelo pesquisador de segurança Bob Diachenko no fim de semana. Pesquisador independente de segurança cibernética Kevin Beaumont disse em uma postagem no blog na quarta-feira que ele analisou os dados e confirmou que os dados “são legítimos”.
Nos últimos anos, várias campanhas de hackers visaram e comprometeram dispositivos Fortinet, geralmente abusando de vulnerabilidades nesses sistemas. Em vez disso, neste caso, os hackers estão contando com senhas vazadas, um ataque mais simples e menos sofisticado.
Atualizado com comentário da Fortinet.
Quando você compra por meio de hyperlinks em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
