Een aanvaller heeft begin dit jaar in een periode van vijf weken meer dan zeshonderd Fortinet FortiGate-firewalls via zwakke wachtwoorden weten te hacken, zo claimt Amazon op basis van eigen onderzoek. De management-interface van de firewalls was voor iedereen op internet toegankelijk. Daarnaast werd er alleen gebruikgemaakt van authenticatie via gebruikersnaam en wachtwoord. Een tweede factor was niet vereist.

Om op de interface van de firewalls in te loggen maakte de aanvaller gebruik van vaak gebruikte gebruikersnamen en wachtwoorden, aldus Amazon. Vervolgens werd de firewall-configuratie gestolen, die verdere inloggegevens, netwerkinformatie en configuratiegegevens bevat. Deze informatie werd daarna gebruikt om het achterliggende netwerk van de organisatie aan te vallen. Zo werden bij organisaties de Active Directory gecompromitteerd en probeerde de aanvaller toegang tot de back-up-infrastructuur te krijgen, wat vaak een voorbode voor ransomware is, zo stelt Amazon.

Naast een omschrijving van de aanval geeft het techbedrijf organisaties ook verschillende adviezen, zoals ervoor zorgen dat de management-interface van de firewall niet toegankelijk vanaf het internet is, multifactorauthenticatie (MFA) voor alle admin- en vpn-toegang is vereist en er wordt geaudit op het hergebruik van wachtwoorden tussen FortiGate- en Active Directory-accounts. De meeste gecompromitteerde firewalls bevonden zich in Zuid- Azië, Latijns-Amerika, West-Afrika en Noord-Europa.