15 января исследователь безопасности Кевин Бомонт сообщил об утечке конфигурационных файлов и информации VPN для 15 000 устройств FortiGate. Данные, содержащие имена пользователей, пароли (в том числе в открытом виде), сертификаты управления устройствами и правила настройки межсетевого экрана, были выложены в даркнете.
Согласно отчету компании CloudSEK, за утечкой стоит новая хакерская группа Belsen Group. Затронутые устройства в основном работают на версиях FortiOS 7.0.x и 7.2.x. CloudSEK и Бомонт пришли к выводу, что утечка связана с эксплуатацией Zero-Day CVE-2022-40684 (оценка CVSS: 9.8), обнаруженной в 2022 году. Ошибка позволяла хакерам обходить аутентификацию через специально созданные HTTP или HTTPS-запросы.
Belsen Group действует на киберпреступной арене уже несколько лет. По мнению CloudSEK, группа могла участвовать в эксплуатации нулевого дня ещё в 2022 году. Большинство данных было собрано в октябре 2022 года, когда уязвимость ещё не была классифицирована. Географически утечка затронула США, Великобританию, Польшу и Бельгию — в этих странах более 20 организаций оказались скомпрометированы. Франция, Испания, Малайзия, Нидерланды, Таиланд и Саудовская Аравия также находятся в списке пострадавших.
Бомонт подтвердил подлинность утечки, сопоставив IP-адреса и конфигурации устройств через Shodan. Последствия атаки включают:
Организациям рекомендуется принять следующие меры:
Тем временем, Fortinet недавно раскрыла ещё одну уязвимость нулевого дня — CVE-2024-55591 (оценка CVSS: 9.8), которая затрагивает устройства FortiGate на FortiOS версий 7.0.0–7.0.16 и 7.2.0–7.2.12. Хотя уязвимость не связана напрямую с атакой Belsen Group, эксперты предупреждают, что злоумышленники могут использовать схожие методы.
Параллельно компания Arctic Wolf выявила масштабную кампанию эксплуатации FortiGate, начавшуюся в декабре 2024 года. Связь с утечкой данных пока не установлена. Fortinet и Arctic Wolf воздержались от комментариев по ситуации.
Belsen Group действует на киберпреступной арене уже несколько лет. По мнению CloudSEK, группа могла участвовать в эксплуатации нулевого дня ещё в 2022 году. Большинство данных было собрано в октябре 2022 года, когда уязвимость ещё не была классифицирована. Географически утечка затронула США, Великобританию, Польшу и Бельгию — в этих странах более 20 организаций оказались скомпрометированы. Франция, Испания, Малайзия, Нидерланды, Таиланд и Саудовская Аравия также находятся в списке пострадавших.
Бомонт подтвердил подлинность утечки, сопоставив IP-адреса и конфигурации устройств через Shodan. Последствия атаки включают:
- утечку конфиденциальных учетных данных;
- раскрытие конфигураций межсетевых экранов, что упрощает обход защиты;
- компрометацию цифровых сертификатов, что позволяет получить несанкционированный доступ к устройствам.
Организациям рекомендуется принять следующие меры:
- Сменить все учетные данные, особенно те, что фигурируют в утечке;
- Проверить конфигурации устройств на наличие уязвимостей и усилить контроль доступа;
- Отозвать и заменить скомпрометированные цифровые сертификаты;
- Провести аудит и расследование инцидентов, чтобы выявить возможные последствия компрометации в 2022 году.
Тем временем, Fortinet недавно раскрыла ещё одну уязвимость нулевого дня — CVE-2024-55591 (оценка CVSS: 9.8), которая затрагивает устройства FortiGate на FortiOS версий 7.0.0–7.0.16 и 7.2.0–7.2.12. Хотя уязвимость не связана напрямую с атакой Belsen Group, эксперты предупреждают, что злоумышленники могут использовать схожие методы.
Параллельно компания Arctic Wolf выявила масштабную кампанию эксплуатации FortiGate, начавшуюся в декабре 2024 года. Связь с утечкой данных пока не установлена. Fortinet и Arctic Wolf воздержались от комментариев по ситуации.