FortiGate rünnaku all: kuidas ründajad kasutavad võrguseadmeid teenusekontode kaaperdamiseks
Ettevõtte turvalisuse maailmas peetakse järgmise põlvkonna tulemüüri (NGFW) sageli ülimaks vahimeheks — digitaalseks kindlusemüüriks, mis on loodud sissetungijate eemal hoidmiseks. Kuid rida keerukaid kampaaniaid on selle loogika pea peale pööramas. SentinelOne'i küberturvalisuse uurijate hiljutised leiud paljastavad, et ründajad kasutavad FortiGate'i seadmeid üha enam mitte tõketena, vaid sisenemispunktidena kõrge väärtusega võrkudesse tungimiseks.
Kasutades ära hiljuti avalikustatud haavatavusi või nõrku administraatori sisselogimisandmeid, saavad ründajad juurdepääsu neile seadmetele, et hankida tundlikke konfiguratsioonifaile. Need failid on palju enam kui lihtsalt tehnilised joonised; need sisaldavad sageli "kuningriigi võtmeid", sealhulgas teenusekontode sisselogimisandmeid ja üksikasjalikku teavet võrgu topoloogia kohta. See suundumus on seadnud sellised sektorid nagu tervishoid, valitsusasutused ja haldusteenuse pakkujad (MSP-d) koordineeritud digitaalse rünnaku sihikule.
Lüüs sihtmärgina
Selle kampaania iroonia seisneb FortiGate'i seadme olemuses endas. Kuna need seadmed asuvad võrgu serval, vajavad nad korrektseks toimimiseks märkimisväärseid õigusi. Kasutajate autentimise haldamiseks ja turvalise juurdepääsu tagamiseks on need sageli integreeritud põhitaristuga, nagu Active Directory (AD) ja Lightweight Directory Access Protocol (LDAP).
Uurijate Alex Delamotte'i, Stephen Bromfieldi, Mary Braden Murphy ja Amey Patne sõnul on just see sügav integratsioon see, mis teeb neist nii atraktiivsed sihtmärgid. Kui ründaja kompromiteerib FortiGate'i seadme, ei kontrolli ta lihtsalt tulemüüri; ta saab potentsiaalselt kanda kinnitada organisatsiooni kogu identiteedihaldussüsteemis. Kui tulemüüril on kõrgete õigustega teenusekonto AD-puu "lugemiseks", on ründajal nüüd samad õigused.
Digitaalse plaani hankimine
Nende hiljutiste rünnakute peamine eesmärk on seadme konfiguratsioonifaili kättesaamine. Paljudes vanemates või nõrgalt turvatud seadistustes sisaldavad need failid teenusekontode räsitud või isegi nõrgalt krüpteeritud sisselogimisandmeid. Kui ründajal on konfiguratsioonifail käes, saab ta töötada võrguühenduseta, et need paroolid lahti murda, kartmata võrgupõhiste sissetungimise tuvastamise süsteemide häireid.
Lisaks sisselogimisandmetele paljastavad konfiguratsioonifailid sisevõrgu "kaardi". Need kirjeldavad üksikasjalikult VLAN-struktuure, usaldusväärseid tsoone ja VPN-konfiguratsioone. Ründaja jaoks on see võrdväärne panga seifi jooniste ja valvuri patrulligraafiku omamisega enne hoonesse sisenemist.
Miks on tervishoiuasutused ja MSP-d ohus
Tervishoiu- ja valitsussektorite sihikule võtmine on kaalutletud samm. Need organisatsioonid käitlevad sageli väga tundlikke andmeid ja tegutsevad rangete tööaja nõuete alusel, mis muudab nad väljapressimisele vastuvõtlikuks. Keskendumine haldusteenuse pakkujatele (MSP-dele) kujutab endast aga laiemat strateegilist ohtu.
MSP-d kasutavad FortiGate'i seadmeid sageli kümnete või isegi sadade erinevate klientide võrkude haldamiseks. Murdes sisse ühe MSP seadmesse, võib ründaja saada potentsiaalse juurdepääsu kõikidele selle pakkuja hallatavatele klientidele. See "üks-mitmele" rünnakuvektor võimaldab küberkurjategijatel oma tegevust hirmutava tõhususega laiendada.
Ekspluadi anatoomia
Kuigi kasutatavad konkreetsed haavatavused võivad varieeruda, jääb metoodika samaks. Ründajad järgivad tavaliselt kolmeastmelist protsessi:
- Esmane juurdepääs: Paikamata haavatavuste (näiteks SSL VPN komponentides leiduvate) ärakasutamine või jõumeetodil rünnakud nõrkade administraatori paroolide vastu.
- Andmete väljutamine: Olles haldusliideses sees, ekspordib ründaja süsteemi konfiguratsiooni. Seda tehakse sageli sisseehitatud haldustööriistade abil, et vältida kahtluste äratamist.
- Sisselogimisandmete kogumine: Ründaja otsib konfiguratsioonist teenusekontode üksikasju. Neid kontosid kasutatakse seejärel tulemüürist sisevõrgu serverikeskkonda liikumiseks.
Mõelge sellest kui peavõtme süsteemist. Tulemüür on välisuks, kuid selle käes olev teenusekonto on peavõti, mis avab kõik teised uksed hoones. Kui ründajal on võti käes, ei ole välisuks enam oluline.
Praktiline kaitse: perimeetri tugevdamine
Selle ohu tõrjumiseks peavad organisatsioonid loobuma võrguseadmete puhul suhtumisest "seadista ja unusta". Turvameeskonnad peaksid oma FortiGate'i keskkondade kaitsmiseks prioritiseerima järgmisi tegevusi:
| Tegevus | Kirjeldus | Prioriteet |
|---|---|---|
| Kohene paikamine | Rakendage uusimad püsivara värskendused, et lahendada teadaolevad CVE-d SSL VPN-is ja veebihaldusliidestes. | Kriitiline |
| MFA halduseks | Lubage mitmeteguriline autentimine (MFA) kogu administraatori juurdepääsuks FortiGate'i kasutajaliidesele ja käsureale. | Kõrge |
| Teenusekontode audit | Kasutage AD/LDAP teenusekontode puhul vähimate õiguste põhimõtet; tagage, et need ei saaks teha domeeniüleseid administraatoriülesandeid. | Kõrge |
| Piira haldusjuurdepääsu | Piirake juurdepääs haldusliidesele konkreetsete usaldusväärsete IP-aadressidega (Local-In poliitikad). | Keskmine |
| Konfiguratsiooni krüpteerimine | Veenduge, et konfiguratsiooni varukoopiad on krüpteeritud tugeva ja ainulaadse parooliga. | Keskmine |
| Kasutamata teenuste keelamine | Lülitage välja funktsioonid nagu SSL VPN, kui neid ei ole äritegevuseks aktiivselt vaja. | Kõrge |
Liikumine nullusaldusarhitektuuri poole
See kampaania on karm meeldetuletus, et ühtegi seadet ei saa pimeisi usaldada, isegi mitte turvalisuse tagamiseks loodud seadet. Üleminek nullusaldusarhitektuurile (Zero-Trust Architecture - ZTA) on kõige tõhusam pikaajaline lahendus. Nullusalduse mudelis ei peeta sisevõrku "turvatsooniks" ainuüksi seetõttu, et kasutaja on läbinud tulemüüri.
Rakendades mikrosegmentimist ja pidevat identiteedi kontrollimist, saavad organisatsioonid tagada, et isegi kui teenusekonto kompromiteeritakse tulemüüri ekspluadi kaudu, on ründaja võime võrgus edasi liikuda rangelt piiratud. Eesmärk on muuta iga ründaja samm võimalikult keeruliseks ja nähtavaks.
Kokkuvõte
FortiGate'i seadmete ekspluateerimine on ohumaastiku keerukas arenguetapp. See liigub kaugemale lihtsast teenuse häirimisest ja keskendub identiteedivarade vaiksele ja metoodilisele vargusele. IT-spetsialistidele ja turvajuhtidele on sõnum selge: teie võrku kaitsvad seadmed on nüüd peamised sihtmärgid. Valve, kiire paikamine ja range lähenemine sisselogimisandmete haldamisele ei ole enam valikulised — need on tänapäevases ohukeskkonnas ellujäämise alustalad.
Allikad
- SentinelOne Threat Intelligence Research
- Fortinet Security Advisories and Best Practices
- Cybersecurity & Infrastructure Security Agency (CISA) Alerts on Edge Device Exploitation
- National Institute of Standards and Technology (NIST) Guidelines on Network Gateway Security
Kohtumiseni teisel poolel.
Meie läbivalt krüpteeritud e-posti ja pilvesalvestuse lahendus pakub kõige võimsamaid vahendeid turvaliseks andmevahetuseks, tagades teie andmete turvalisuse ja privaatsuse.
/ Tasuta konto loomin
