„FortiGate“ pavojuje: kaip užpuolikai paverčia tinklo įrenginius ginklais paslaugų paskyroms perimti
Įmonių saugumo pasaulyje naujos kartos užkarda (NGFW) dažnai laikoma pagrindiniu sargybiniu – skaitmenine tvirtovės siena, skirta sulaikyti įsibrovėlius. Tačiau virtinė sudėtingų kampanijų šią logiką apverčia aukštyn kojomis. Naujausi „SentinelOne“ kibernetinio saugumo tyrėjų radiniai atskleidžia, kad grėsmių sukėlėjai vis dažniau naudoja „FortiGate“ įrenginius ne kaip kliūtis, o kaip įėjimo taškus, kad įsiskverbtų į didelės vertės tinklus.
Išnaudodami neseniai atskleistus pažeidžiamumus arba pasinaudodami silpnais administratoriaus prisijungimo duomenimis, užpuolikai gauna prieigą prie šių įrenginių, kad išgautų jautrius konfigūracijos failus. Šie failai yra daug daugiau nei tik techniniai brėžiniai; juose dažnai saugomi „raktai į karalystę“, įskaitant paslaugų paskyrų kredencialus ir išsamią tinklo topologijos informaciją. Dėl šios tendencijos tokie sektoriai kaip sveikatos apsauga, valstybinės institucijos ir valdomų paslaugų teikėjai (MSP) atsidūrė koordinuoto skaitmeninio puolimo taikiklyje.
Vartai kaip taikinys
Šios kampanijos ironija slypi pačioje „FortiGate“ įrenginio prigimtyje. Kadangi šie įrenginiai stovi tinklo pakraštyje, jiems reikalingi dideli leidimai, kad jie tinkamai veiktų. Norint valdyti naudotojų autentifikavimą ir užtikrinti saugią prieigą, jie dažnai integruojami su pagrindine infrastruktūra, tokia kaip „Active Directory“ (AD) ir „Lightweight Directory Access Protocol“ (LDAP).
Pasak tyrėjų Alex Delamotte, Stephen Bromfield, Mary Braden Murphy ir Amey Patne, būtent ši gili integracija daro juos tokiais patraukliais taikiniais. Kai užpuolikas pažeidžia „FortiGate“ įrenginį, jis ne tik valdo užkardą; jis potencialiai įgyja atramą visoje organizacijos tapatybės valdymo sistemoje. Jei užkarda turi paslaugų paskyrą su aukštomis privilegijomis skaityti AD medį, užpuolikas dabar turi tas pačias privilegijas.
Skaitmeninio plano išgavimas
Pagrindinis šių pastarojo meto atakų tikslas yra įrenginio konfigūracijos failo išgavimas. Daugelyje senų arba netinkamai sustiprintų sąrankų šiuose failuose yra maišos (hashed) arba net silpnai užšifruoti paslaugų paskyrų kredencialai. Gavęs konfigūracijos failą, užpuolikas gali dirbti neprisijungęs prie tinklo, kad nulaužtų šiuos slaptažodžius, nebijodamas suaktyvinti tinklo įsibrovimo aptikimo sistemų.
Be kredencialų, konfigūracijos failai atskleidžia vidinio tinklo „žemėlapį“. Juose išsamiai aprašomos VLAN struktūros, patikimos zonos ir VPN konfigūracijos. Grėsmės sukėlėjui tai prilygsta banko saugyklos brėžinio ir apsaugos darbuotojų patruliavimo grafiko turėjimui dar prieš įžengiant į pastatą.
Kodėl sveikatos apsaugos sektoriui ir MSP kyla pavojus
Sveikatos apsaugos ir vyriausybės sektorių pasirinkimas yra apskaičiuotas žingsnis. Šios organizacijos dažnai tvarko itin jautrius duomenis ir dirba laikydamosi griežtų nepertraukiamo veikimo reikalavimų, todėl jos yra pažeidžiamos turto prievartavimui. Tačiau dėmesys valdomų paslaugų teikėjams (MSP) reprezentuoja platesnę strateginę grėsmę.
MSP dažnai naudoja „FortiGate“ įrenginius dešimčių ar net šimtų skirtingų klientų tinklams valdyti. Įsilaužęs į vieną MSP įrenginį, užpuolikas gali įgyti „pasrovinę“ prieigą prie visų to teikėjo valdomų klientų. Šis „vienas su daugeliu“ atakos vektorius leidžia kibernetiniams nusikaltėliams plėsti savo operacijas bauginančiu efektyvumu.
Išnaudojimo anatomija
Nors konkretūs naudojami pažeidžiamumai gali skirtis, metodika išlieka nuosekli. Užpuolikai paprastai laikosi trijų žingsnių proceso:
- Pradinė prieiga: išnaudojami neapsaugoti pažeidžiamumai (pavyzdžiui, rasti SSL VPN komponentuose) arba naudojamos „brute-force“ atakos prieš silpnus administratoriaus slaptažodžius.
- Duomenų eksfiltracija: patekęs į valdymo sąsają, užpuolikas eksportuoja sistemos konfigūraciją. Tai dažnai daroma naudojant integruotus administravimo įrankius, kad nebūtų sukeltas įtarimas.
- Kredencialų rinkimas: užpuolikas analizuoja konfigūraciją, ieškodamas paslaugų paskyrų duomenų. Šios paskyros vėliau naudojamos judėti horizontaliai iš užkardos į vidinę serverių aplinką.
Pagalvokite apie tai kaip apie pagrindinio rakto sistemą. Užkarda yra priekinės durys, tačiau jos turima paslaugų paskyra yra pagrindinis raktas, atidarantis visas kitas pastato duris. Kai užpuolikas turi raktą, priekinės durys nebetenka reikšmės.
Praktinė gynyba: perimetro stiprinimas
Norėdamos atremti šią grėsmę, organizacijos turi atsisakyti nuostatos „nustatyti ir pamiršti“, susijusios su tinklo įrenginiais. Saugumo komandos turėtų teikti pirmenybę šiems veiksmams, kad apsaugotų savo „FortiGate“ aplinkas:
| Veiksmas | Aprašymas | Prioritetas |
|---|---|---|
| Skubus lopymas | Įdiekite naujausius programinės įrangos atnaujinimus, kad pašalintumėte žinomus CVE SSL VPN ir žiniatinklio valdymo sąsajose. | Kritinis |
| MFA valdymui | Įjunkite daugiafaktorinį autentifikavimą visai administratoriaus prieigai prie „FortiGate“ vartotojo sąsajos ir CLI. | Aukštas |
| Paslaugų paskyrų auditas | Taikykite mažiausių privilegijų principą AD/LDAP paslaugų paskyroms; užtikrinkite, kad jos negalėtų atlikti domeno administratoriaus užduočių. | Aukštas |
| Valdymo prieigos ribojimas | Apribokite prieigą prie valdymo sąsajos tik specifiniais, patikimais IP adresais („Local-In“ taisyklės). | Vidutinis |
| Konfigūracijos šifravimas | Užtikrinkite, kad konfigūracijos atsarginės kopijos būtų užšifruotos stipriu, unikaliu slaptažodžiu. | Vidutinis |
| Nenaudojamų paslaugų išjungimas | Išjunkite tokias funkcijas kaip SSL VPN, jei jos nėra aktyviai reikalingos verslo operacijoms. | Aukštas |
Perėjimas prie nulinio pasitikėjimo architektūros
Ši kampanija yra griežtas priminimas, kad nė vienu įrenginiu negalima besąlygiškai pasitikėti, net ir tuo, kuris skirtas saugumui. Perėjimas prie nulinio pasitikėjimo architektūros (ZTA) yra efektyviausias ilgalaikis sprendimas. Nulinio pasitikėjimo modelyje vidinis tinklas nelaikomas „saugu zona“ vien todėl, kad naudotojas praėjo pro užkardą.
Įdiegus mikrosegmentaciją ir nuolatinį tapatybės tikrinimą, organizacijos gali užtikrinti, kad net jei paslaugų paskyra bus pažeista per užkardos išnaudojimą, užpuoliko galimybė judėti horizontaliai bus griežtai apribota. Tikslas yra padaryti kiekvieną užpuoliko žingsnį kuo sunkesnį ir matomesnį.
Išvada
„FortiGate“ įrenginių išnaudojimas yra sudėtinga evoliucija grėsmių aplinkoje. Tai peržengia paprasto paslaugų trikdymo ribas ir sutelkia dėmesį į tylią, metodišką tapatybės turto vagystę. IT specialistams ir saugumo vadovams žinutė aiški: įrenginiai, saugantys jūsų tinklą, dabar yra pagrindiniai taikiniai. Budrumas, greitas lopymas ir griežtas požiūris į kredencialų valdymą nebėra pasirenkami dalykai – tai išlikimo pagrindas šiuolaikinėje grėsmių aplinkoje.
Šaltiniai
- SentinelOne Threat Intelligence Research
- Fortinet Security Advisories and Best Practices
- Cybersecurity & Infrastructure Security Agency (CISA) Alerts on Edge Device Exploitation
- National Institute of Standards and Technology (NIST) Guidelines on Network Gateway Security
Iki pasimatymo kitoje pusėje.
Pašto ir debesies saugojimo sprendimas suteikia galingiausias saugaus keitimosi duomenimis priemones, užtikrinančias jūsų duomenų saugumą ir privatumą.
/ Sukurti nemokamą paskyrą
