De hackers die wachtwoorden van tienduizenden Fortinet-firewalls wisten te kraken en vervolgens op internet te koop aanboden hebben hun werkwijze en tools via een open directory gelekt, zo meldt cybersecuritybedrijf CloudSEK. In Nederland zouden driehonderd Fortinet-firewalls zijn getroffen. Fortinet stelt dat bij de aanvallen geen misbruik van een nieuwe kwetsbaarheid is gemaakt. Volgens de Britse beveiligingsonderzoeker Kevin Beaumont is dat niet het volledige verhaal. Ook stelt hij dat organisaties zich gek laten maken door AI-dreigingen, terwijl ze niet eens multifactorauthenticatie (MFA) voor accounts hebben ingeschakeld.

Vorige week werd bekend dat criminelen de inloggegevens van zo'n 74.000 Fortinet-firewalls en vpn-gateways in handen hebben en te koop aanbieden. De aanvallers zouden de configuratie van de Fortinet-apparaten hebben gedumpt, en vervolgens via een grote GPU-cluster de wachtwoordhashes hebben gekraakt. Hoe de aanvallers toegang tot de firewalls konden krijgen is volgens Beaumont nog niet helemaal duidelijk. Hij vermoedt ongepatchte kwetsbaarheden of eerder toegevoegde admin-accounts die als backdoor fungeren.

Fortinet stelt dat de aanvallers misbruik maken van inloggegevens die via bekende kwetsbaarheden, waarvoor eind vorig jaar en begin dit jaar updates verschenen, zijn gestolen. Vervolgens zijn er bruteforce-aanvallen uitgevoerd tegen firewalls en gateways met 'zwakke wachtwoordhygiëne en geen MFA', aldus het cybersecuritybedrijf. Dat herhaalt in korte blogposting dat er geen sprake is van een nieuw Fortinet-lek en de activiteit niet te maken heeft met een recent incident of kwetsbaarheid.

'Opsec failure'

De aanvallers maakten bij hun operatie een grote fout, een opsec failure zoals CloudSECK het noemt, waardoor hun tools, scripts en werkwijze via een open directory voor iedereen op internet toegankelijk waren. Zo werd duidelijk dat de aanvallers eerst zochten naar online toegankelijke admin-interfaces van Fortinet-firewalls. Vervolgens werd er geprobeerd om door middel van eerder gestolen wachtwoorden in te loggen. Nadat de aanvallers toegang tot de firewall hadden werden hashes van vpn-gebruikers buitgemaakt en vervolgens offline gekraakt.

Beaumont stelt dat de gekraakte vpn-inloggegevens verdere aanvallen mogelijk maken. De onderzoeker meldt dat aanvallers bij getroffen organisaties nieuwe admin-accounts aanmaakten, nieuwe firewall rules aanmaakten om SSH en RDP vanaf bepaalde ip-adressen toe te staan en er werd ingelogd op IPsec VPN-tunnels. De aanvallers zouden zich ook specifiek hebben gericht op telecombedrijven en managed service providers (MSP's) die klantconnectiviteit via Fortigate-firewalls beheren, om zo toegang tot interne netwerken van deze klanten te krijgen. Zo werd in de open directory van de aanvallers informatie gevonden waaruit bleek dat ze toegang tot interne Active Directory-omgevingen van een groot aantal organisaties hadden.

Advies

Getroffen organisaties krijgen van Beaumont het advies om hun getroffen Fortinet-apparaten tijdelijk offline te halen, volledig opnieuw op te bouwen, alle admin-accounts te verwijderen en nieuwe accounts aan te maken, waarbij voor elk account MFA is ingeschakeld. Tevens moet de laatste firmware zijn geïnstalleerd en alle firewall rules worden geïnspecteerd. Tevens adviseert de onderzoeker om alle IPsec site to site vpn-tunnel keys of certificaten aan beide kanten te vervangen.

"Organisaties maken zich continu zorgen over generatieve AI-dreigingen, maar dit incident raakt tienduizenden organisaties die niet eens multifactorauthenticatie op hun vpn-boxes hebben ingesteld. Er zit een gigantisch gat tussen waarover veel cybersecuritymensen praten - frontier AI - en wat daadwerkelijk gebeurt bij de organisaties waar ze voor zorgen", aldus Beaumont. De onderzoeker voegt toe dat Fortinet meer in security moet investeren en bovenop dit soort incident zou moeten zitten. "De verklaring dat het om oude data uit een datalek zou gaan (wat niet waar is - het gaat ook om gekraakte wachtwoorden) en om bruteforce-aanvallen, suggereert dat Fortinet achter de feiten aanloopt."