Laburpen exekutiboa
Fortinet firewall eta VPN gateway-ak munduko erakunde ugariren defentsa-perimetro nagusia dira. Hala ere, ziberespioitza-kanpaina masibo batek (FortiBleed) gailu fidagarri hauek konprometitu ditu modu isilean, aurrekaririk gabeko eskalan global batean.
Jatorriz Volodymyr “Bob” Diachenko segurtasun-ikertzaileak aurkitu zuen, Hudson Rock-ek eta Kevin Beaumont zibersegurtasun-adituak aztertu zuten. Datu-multzo honek 73.932 firewall URL bakar agerian uzten ditu 194 herrialdetan, 21.632 domeinu bakar eraginda. Hau, Beaumont-ek nabarmendu duenez, internetera begira dauden Fortinet firewall gailuen gutxi gorabehera %50a da.
Erasotzaileek FortiGate Management Interface-a publikoan utzitako instantziak bilatu zituzten. Datuak gailuen konfigurazio-esportazioetatik datoz, erasotzaileei kredentzialak ateratzeko eta offline brute-force egiteko aukera emanez.
Erasotzaileen metodologia eta eskala:
Kanpaina errusiar hizkuntzako ziberkriminal talde multi-operadore batek zuzentzen du. Operazioaren aztarna izugarria da: erasotzaileek 1.16 milioi milioi kredentzial-saiakera egin zituzten 320.000 FortiGate helburu baino gehiagotan, eta 2.1 milioi milioi brute-force saiakera 160.000 MSSQL zerbitzari baino gehiagotan.
Taldearen metodologia kredentzialen berrerabilpen soila baino haratago doa. SSL VPN autentifikazio-hash-ak atzeman eta 45-GPU kluster dedikatu batekin pitzatzen dituzte Hashtopolis bidez kudeatuta. Perimetroa hautsi ondoren, operadoreek sistematikoki barne Active Directory inguruneetara pivot egiten dute sare-persitentzia sakona ezartzeko.
Metodologia oldarkor honek ondorio larriak izan ditu errealitatean. Diachenko-ren ikerketak sare-konpromiso osoak baieztatu ditu Japonia, Taiwan, Vietnam, Irak eta Turkia-ko hainbat erakundetan. Alarmanteena: Turkiako NATO defentsa-kontratista batetik sailkatutako defentsa-dokumentuak arrakastaz exfilt ratu zirela.
Beaumont-ek kontraste zorrotza nabaritzen du aurreko “Belsen Group” ihesaldiaren (15.000 gailu 2022ko zero-day batean) eta gertaera honen artean. Datu-multzo hau konpromiso aktibo eta berriak dira — eragindako gailu askok azken patch-ak dituzte. Gainera, ihesaldiko datuen formatuak, biktimak enpresa motaren, diru-sarreren eta herrialdearen arabera kategorizatzen dituena, eCrime sindikatuek hasierako sarbidea dark web-en saltzeko ohikoa da.
2025 hasieran Fortinet-ek admin kredentzialen biltegiratzea gogortu zuen PBKDF2-ra pasatuz, baina babes honek soilik aplikatzen da administratzaileek firmware eguneraketa aplikatu ondoren saioa hasi badute. Ondorioz, gailu askok kredentzialak formatu zaharrago eta ahulagoan gordetzen jarraitzen zuten (SHA-256 with Salt), konfigurazio-fitxategiak aterata ondoren offline brute-forcing-aren aurrean oso sentikorrak bihurtuz.
Eragindako baliabideak
- Fortinet FortiGate firewall eta VPN gateway gailuak, batez ere Management Interface-a internet publikoan esposatuta dutenak.
- Gailuak 2025 hasierako firmware eguneraketak aplikatu ez dituztenak edo administrazio-saioa berriro hasi ez dutenak (PBKDF2 re-hashing ez aktibatzeko).
- 194 herrialdeetan 21.632 domeinu baino gehiago eraginda (India, AEB, Taiwan, Mexiko, Turkia eta beste asko buru direlarik).
Azterketa teknikoa
Arintzea/Konponbidea
FortiBleed kanpainaren aurka zure sareak babesteko, berehala ekintza hauek gomendatzen ditugu:
- Kendu Internet esposizioa: Ziurtatu FortiOS Management Interface-a ez dagoela internet publikoan eskuragarri, ezinbestekoa ez bada.
- Behartu kredentzialen biraketa eta hashing berritzea: Eguneratu azken FortiOS bertsiora eta behartu admin guztiek saioa hastea berriro, sistema PBKDF2 estandar seguruagoarekin pasahitzak berriro hash egiteko.
- Suposatu konpromisoa eta bilatu backdoor-ak: Admin kontuetan login arrakastatsu susmagarriak ikusten badituzu, suposatu gailua konprometituta dagoela. Erasotzaileek segurtasun-kontrolak alda ditzakete edo backdoor erabiltzaileak sortu. Kasu larrietan, gailua guztiz ordezkatzea beharrezkoa izan daiteke.
- Ezarri MFA zorrotza: Ziurtatu Multi-Factor Authentication unibertsalki aplikatzen dela kanpo-gateway eta admin interfaze guztietan, lapurtutako testu lauko pasahitzen mehatxua neutralizatuz.
- Monitorizatu kredentzial lapurtuak: Langileen eta hirugarrenen hornitzaileen kredentzialak mehatxu-inteligentzia datu-baseen aurka proaktiboki monitorizatu, konprometitutako pasahitzak perimetroaren aurka armatzen diren baino lehen harrapatzeko.