De FortiGate-firewalls van Fortinet zijn het mikpunt van een grootschalig datalek. Gegevens van bijna 74.000 firewalls wereldwijd zijn publiek gemaakt.
Fortinet heeft te maken met een grootschalig datalek bij zijn klanten. De gegevens van meer dan 70.000 firewalls zouden zijn blootgelegd door vermoedelijk Russische hackers. Fortinet zegt dat het datalek, gedoopt tot ‘FortiBleed’, geen gevolg is van een kwetsbaarheid of hack in zijn eigen systemen.
De Amerikaanse cyberveiligheidinstantie CISA heeft een officiële waarschuwing uitgestuurd. “Kwaadwillende cyberactoren richten zich op via het internet toegankelijke Fortinet-apparaten bij overheids- en particuliere organisaties, waarbij ze gebruik hebben gemaakt van gestolen inloggegeven. Deze activiteit houdt in dat gelekte inloggegevens zijn blootgesteld”, schrijft de organisatie in een publiek statement.
FortiBleed
De gelekte data werden voor het eerst onderzoek door beveiligingsonderzoeker Bob Dianchenko, die via LinkedIn aan de alarmbel trok. Hij ontdekte een server met credentials van 21.634 FortiGate-apparaten, waaronder gebruikersnamen, e-mailadressen en wachtwoorden in leesbare tekst. Die eerste batch is maar een voorproefje van de omvang van het datalek.
Verschillende beveiligingsexperten zijn op onderzoek gegaan, en verifiëren de authenticiteit van de gegevens. Volgens beveiligingsonderzoeker Kevin Beaumont staat het gros van de getroffen firewalls nog online, wat erop zou wijzen dat het om recente credentials gaat die mogelijk zelfs nog werken. De gegevens zijn normaal gezien enkel beschikbaar vanuit de configuraties.
74.000 firewalls getroffen
Beveiligingsbedrijf HudsonRock heeft een online tool gelanceerd om de omvang van het lek in kaart te brengen. Via de ‘FortiBleed-tracker’ kan je opzoeken of URL’s en domeinen van firewalls actief in je organisatie gecompromitteerd zijn. De teller staat voorlopig op 73.932 gelekte URL’s, afkomstig van 21.387 domeinen en verspreid over 194 landen. HudsonRock spreekt nu al over één van de grootste firewall-lekken ooit.
Tussen de lijst van getroffen domeinen staan grote namen. Spotify, Samsung, Sony, Oracle, Lenovo, Alibaba, Huawei, Fedex, Siemens en de Franse moederorganisatie van Orange zouden al prijs hebben. De originele ontdekker Diachenko noemt ook een Turkse organisatie die onder contract staat bij de NAVO. Het gros van getroffen bedrijven situeert zich op het Amerikaanse en Aziatische continent.
Geen hack
Diachenko wijst in de richting van een niet nader genoemde Russische actor, die gehaste credentials verzamelt van naar het internet gerichte FortiGate-apparaten en die met een GPU-cluster kraakt. De onderzoeker weet dit omdat de daders zelf enkele documenten onbedoeld hadden achter gelaten op de server. Als de gelekte credentials effectief nog gebruiksklaar zijn, zouden hackers die kunnen gebruiken om zomaar in te loggen.
CISA verzoekt organisaties om alle actieve sessies te beëindigen en firewalls van het internet te halen. Via de loggegevens kan verdachte activiteit opgespoord worden om ongeauthoriseerde accounts te kunnen verwijderen. Bijkomend advies luidt om wachtwoorden te beveiligen met hashingalgoritmes en VPN- en administratieve wachtwoorden opnieuw te instellen, alsook MFA in te schakelen waar mogelijk.
Fortinet reageert via Bleeping Computer dat de database wellicht is samengesteld tijdens eerdere incidenten en met brute-force aanvallen. De vendor zegt met zekerheid dat er geen sprake is van uitgebuite zerodays, of een hack op de eigen systemen. Fortinet adviseert bedrijven om hun inloggegevens regelmatig te vernieuwen, en liefst zo snel mogelijk als firewalls in je organisatie getroffen zijn. Eerder deze week rapporteerde Fortinet drie kwetsbaarheden in zijn FortiSandbox-oplossing.
Dit artikel verscheen origineel op 18 juni en kreeg een update met de recentste informatie.