Fortinet-lek geeft toegang tot duizenden bedrijfsnetwerken

In dit artikel:

Onderzoekers hebben recent een omvangrijke verzameling werkende bedrijfsinloggegevens gevonden die duizenden organisaties kwetsbaar maakt. Beveiligingsonderzoeker Bob Diachenko van SecurityDiscovery ontdekte toegang tot infrastructuur waarin gegevens stonden van bijna 74.000 gecompromitteerde Fortinet-apparaten, verspreid over 194 landen. De dataset bevat niet alleen gebruikersnamen en wachtwoorden, maar ook organisatorische metadata zoals sector, omzet en personeelsomvang.

Onder de getroffen partijen staan grote namen als Oracle, Lenovo, FedEx, Fortinet zelf, Foxconn, Samsung, Comcast, Siemens, PwC en Accenture, plus diverse overheidsinstanties en aanbieders van kritieke infrastructuur. Onderzoekers melden bovendien dat een Turkse defensieaannemer die voor de NAVO werkt volledig zou zijn binnengedrongen en vertrouwelijke defensiedocumenten zijn buitgemaakt.

Volgens onderzoek van Kevin Beaumont en beveiligingsbedrijf Hudson Rock blijven veel gecompromitteerde systemen online en blijken veel van de gestolen inloggegevens nog te werken. Na toegang tot Fortinet-apparatuur drongen aanvallers in meerdere gevallen door tot centrale authenticatiesystemen zoals Microsoft Active Directory en RADIUS-servers, wat toegang tot kernsystemen mogelijk maakt.

De operatie begon met grootschalige scans naar publiek bereikbare FortiGate-systemen, gevolgd door een geautomatiseerd platform dat massaal gebruikersnaam-wachtwoordcombinaties uitprobeert. Aanvallers onderschepten VPN-authenticaties en gebruikten een GPU-cluster om versleutelde hashes te kraken. Hun aanpak was deels zelflerend: eerder gekraakte wachtwoorden werden gebruikt om nieuwe varianten te genereren en zo effectiviteit te verhogen. Door fouten in hun eigen operationele beveiliging konden onderzoekers uiteindelijk de gebruikte infrastructuur achterhalen.

Onderzoekers waarschuwen organisaties met Fortinet-firewalls dringend om onmiddellijk te controleren op ongeautoriseerde toegang en mogelijke laterale beweging binnen netwerken. Gezien de schaal is het risico groot dat de dataset inmiddels door andere cybercriminelen wordt gebruikt. Praktische vervolgstappen zijn onder meer patches en configuratiecontroles van FortiGate, resetten van credentials, inschakelen van multi-factor authentication, onderzoek naar Active Directory- en RADIUS-logs en zoeken naar tekenen van persistente toegang.