15 000 únikov konfigurácií Fortigate firewallov - čo sa stalo a ako sa chrániť.
Čo je dôležité vedieť
Pred nedávnom bola zverejnená informácia o uniknutých bezpečnostných údajov súvisiacich s firewallmi od spoločnosti Fortinet z roku 2022. Fortinet okamžite vydal bezpečnostné záplaty v rámci nových aktualizácií dotknutých zariadení. Aj napriek tomu sa odporúča vykonať viacero bezpečnostných opatrení, ktoré popisujeme nižšie.
Čo sa stalo ...
V uplynulom období boli zverejnené informácie o masívnom úniku až 15 000 konfiguračných súborov z Fortigate firewallov. Za útokom stojí pravdepodobne skupina hackerov označovaná ako Belsen Group, pričom podľa zverejnených informácií boli dáta z firewallov odcudzené pomocou zero-day zraniteľnosti ešte v roku 2022. Táto informácia sa opiera o údaje zverejnené spoločnosťou CloudSEK.
Zero-day zraniteľnosť - útočníci pravdepodobne využili bezpečnostnú dieru, ktorú dovtedy výrobca Fortinet oficiálne nepoznal a teda ešte nebol dostupný žiadny opravných balíček ani oficiálne odporúčanie.
Rozsiahly únik dát - konfiguračné súbory firewallov obsahujú citlivé informácie, napr. sieťové nastavenia, IP adresy, prístupové údaje či rootovacie pravidlá. Ak sa dostanú do nesprávnych rúk, môžu útočníkom pomôcť pri hĺbkových útokoch na firemné siete či pri obchádzaní existujúcich bezpečnostných opatrení.
Prečo je to nebezpečné
Zvýšené riziko cielených útokov - vďaka úniku konfigurácií môžu útočníci lepšie porozumieť štruktúre siete a potenciálnym slabým miestam.
Získanie prístupu k citlivým dátam - informácie z konfiguračných súborov môžu útočníkom uľahčiť napadnutie internej infraštruktúry a prípadné odcudzenie dôverných firemných alebo zákazníckych údajov.
Obídenie bezpečnostných mechanizmov - detailné znalosti o filtrovaní premávky, vytvorených pravidlách či používaných technológiách umožňujú útočníkom nastaviť sofistikované metódy na obídenie obranných liniek.
Ako sa chrániť
- Zmena hesla a konfigurácie
- Prvým krokom by mala byť zmena a ak je to možné aj zmena konfigurácie dotknutých zriadení.
- Okamžité aktualizácie
- Vždy udržiavajte softvér a firmvér Fortigate (ale i ďalších zariadení) aktualizované. Po zverejnení zero-day zraniteľnosti zvyčajne výrobca rýchlo vydáva záplatu.
- Monitoring logov
- Pravidelné kontrolovanie systémových záznamov (logov) pomáha včas odhaliť neobvyklé aktivity či pokusy o preniknutie do siete.
- Pravidelná revízia konfigurácií
- Odporúčame pravidelne kontrolovať a aktualizovať nastavenia firewallov, odstraňovať staré alebo nepotrebné pravidlá a overovať, že aktuálne politiky zodpovedajú potrebám a bezpečnostným štandardom organizácie.
- Segmentácia siete
- Aj pri prípadnom prieniku do jedného segmentu zabránite útočníkom v rýchlom preniknutí ďalej do celej siete.
- Silná autentifikácia
- Odporúča sa používanie viacfaktorovej autentifikácie (MFA) a správna správa prístupov. Zabezpečte, aby mali prístup k firewallom len oprávnené osoby.
Záver
Únik tisíce konfiguračných súborov Fortigate firewallov je pripomienkou, že kybernetické hrozby sú neustále prítomné a vyvíjajú sa. Zero-day zraniteľnosti predstavujú obzvlášť závažné riziko, keďže ich exploity môžu útočníci využiť skôr, ako sa výrobcovi podarí vydať bezpečnostné záplaty.
Prevencia a včasné odhalenie sú kľúčom k minimalizácii rizík. Pravidelné kontroly, aktualizácie, segmentácia siete či dôsledná správa prístupov sú minimálnymi požiadavkami efektívnej kybernetickej obrany. Ak potrebujete pomoc s nasadzovaním bezpečnostných opatrení alebo analýzou rizík, kontaktujte nás na cdp.sk. Sme pripravení pomôcť s odborným poradenstvom pri praktickom riešení pre zvýšenie vašej kybernetickej bezpečnosti.