FortiGate zem uguns: kā uzbrucēji izmanto tīkla iekārtas, lai nolaupītu pakalpojumu kontus

Uzņēmumu drošības pasaulē nākamās paaudzes ugunsmūris (NGFW) bieži tiek uzskatīts par galveno sargu — digitālu cietokšņa mūri, kas paredzēts iebrucēju atturēšanai. Tomēr virkne sarežģītu kampaņu šo loģiku apgriež kājām gaisā. Jaunākie SentinelOne kiberdrošības pētnieku atklājumi liecina, ka apdraudējumu izpildītāji arvien biežāk izmanto FortiGate iekārtas nevis kā barjeras, bet gan kā ieejas punktus, lai infiltrētos augstvērtīgos tīklos.

Izmantojot nesen atklātās ievainojamības vai vājus administratīvos akreditācijas datus, uzbrucēji iegūst piekļuvi šīm ierīcēm, lai iegūtu sensitīvus konfigurācijas failus. Šie faili ir kas vairāk nekā tikai tehniski rasējumi; tie bieži satur "valstības atslēgas", tostarp pakalpojumu kontu akreditācijas datus un detalizētu informāciju par tīkla topoloģiju. Šī tendence ir izvirzījusi tādas nozares kā veselības aprūpe, valsts pārvalde un pārvaldīto pakalpojumu sniedzēji (MSP) koordinēta digitālā uzbrukuma mērķtiecē.

Vārteja kā mērķis

Šīs kampaņas ironija slēpjas pašā FortiGate iekārtas raksturā. Tā kā šīs ierīces atrodas tīkla malā, tām ir nepieciešamas ievērojamas atļaujas, lai tās darbotos pareizi. Lai pārvaldītu lietotāju autentifikāciju un nodrošinātu drošu piekļuvi, tās bieži tiek integrētas ar pamata infrastruktūru, piemēram, Active Directory (AD) un Lightweight Directory Access Protocol (LDAP).

Saskaņā ar pētnieku Alex Delamotte, Stephen Bromfield, Mary Braden Murphy un Amey Patne teikto, tieši šī dziļā integrācija padara tās par tik pievilcīgiem mērķiem. Kad uzbrucējs kompromitē FortiGate ierīci, viņš ne tikai kontrolē ugunsmūri; viņš potenciāli iegūst pamatu visas organizācijas identitātes pārvaldības sistēmā. Ja ugunsmūrim ir pakalpojumu konts ar augstām privilēģijām "lasīt" AD koku, uzbrucējam tagad ir šīs pašas privilēģijas.

Digitālā projekta ieguve

Galvenais mērķis šajos nesenajos uzbrukumos ir ierīces konfigurācijas faila ieguve. Daudzās mantotās vai nepietiekami aizsargātās konfigurācijās šie faili satur jaucējkodus (hashes) vai pat vāji šifrētus pakalpojumu kontu akreditācijas datus. Tiklīdz uzbrucējam ir konfigurācijas fails, viņš var strādāt bezsaistē, lai uzlauztu šīs paroles, nebaidoties iedarbināt tīkla ielaušanās noteikšanas sistēmas.

Papildus akreditācijas datiem konfigurācijas faili atklāj iekšējā tīkla "karti". Tajos ir detalizēti aprakstītas VLAN struktūras, uzticamās zonas un VPN konfigurācijas. Apdraudējuma izpildītājam tas ir līdzvērtīgi bankas seifa rasējumam un apsardzes patruļas grafikam vēl pirms ieiešanas ēkā.

Kāpēc veselības aprūpe un MSP ir pakļauti riskam

Veselības aprūpes un valsts pārvaldes sektoru mērķēšana ir aprēķināts gājiens. Šīs organizācijas bieži apstrādā ļoti sensitīvus datus un darbojas saskaņā ar stingrām darbspējas laika prasībām, padarot tās uzņēmīgas pret izspiešanu. Tomēr fokuss uz pārvaldīto pakalpojumu sniedzējiem (MSP) rada plašāku stratēģisku apdraudējumu.

MSP bieži izmanto FortiGate ierīces, lai pārvaldītu desmitiem vai pat simtiem dažādu klientu tīklus. Uzlaužot viena MSP iekārtu, uzbrucējs var potenciāli iegūt "pakārtotu" piekļuvi visiem klientiem, kurus pārvalda šis sniedzējs. Šis "viens pret daudziem" uzbrukuma vektors ļauj kibernoziedzniekiem mērogot savas operācijas ar biedējošu efektivitāti.

Ekspluata anatomija

Lai gan konkrētās izmantotās ievainojamības var atšķirties, metodika paliek nemainīga. Uzbrucēji parasti ievēro trīs posmu procesu:

1. Sākotnējā piekļuve: Neizlabotu ievainojamību izmantošana (piemēram, tās, kas atrodamas SSL VPN komponentos) vai brutālā spēka uzbrukumi pret vājām administratora parolēm.
2. Datu eksfiltrācija: Nokļūstot pārvaldības saskarnē, uzbrucējs eksportē sistēmas konfigurāciju. Tas bieži tiek darīts, izmantojot iebūvētos administratīvos rīkus, lai izvairītos no aizdomām.
3. Akreditācijas datu ievākšana: Uzbrucējs analizē konfigurāciju, meklējot pakalpojumu kontu informāciju. Šie konti pēc tam tiek izmantoti, lai pārvietotos sāniski no ugunsmūra uz iekšējo serveru vidi.

Domājiet par to kā par galvenās atslēgas sistēmu. Ugunsmūris ir priekšējās durvis, bet pakalpojuma konts, ko tas glabā, ir galvenā atslēga, kas atver visas pārējās durvis ēkā. Tiklīdz uzbrucējam ir atslēga, priekšējām durvīm vairs nav nozīmes.

Praktiskā aizsardzība: perimetra stiprināšana

Lai pretotos šim apdraudējumam, organizācijām ir jāatsakās no mentalitātes "iestati un aizmirsti" attiecībā uz tīkla ierīcēm. Drošības komandām par prioritāti jāizvirza šādas darbības, lai aizsargātu savas FortiGate vides:

Virzība uz nulles uzticamības arhitektūru

Šī kampaņa kalpo kā spilgts atgādinājums, ka nevienai ierīcei nevar pilnībā uzticēties, pat tādai, kas paredzēta drošībai. Pāreja uz nulles uzticamības arhitektūru (ZTA) ir visefektīvākais ilgtermiņa risinājums. Nulles uzticamības modelī iekšējais tīkls netiek uzskatīts par "drošu zonu" tikai tāpēc, ka lietotājs ir izgājis cauri ugunsmūrim.

Ieviešot mikrosegmentāciju un nepārtrauktu identitātes pārbaudi, organizācijas var nodrošināt, ka pat tad, ja pakalpojuma konts tiek kompromitēts, izmantojot ugunsmūra ekspluatu, uzbrucēja iespējas pārvietoties sāniski ir stingri ierobežotas. Mērķis ir padarīt katru uzbrucēja soli pēc iespējas grūtāku un redzamāku.

Secinājums

FortiGate ierīču izmantošana ir sarežģīta evolūcija apdraudējumu ainavā. Tā sniedzas tālāk par vienkāršu pakalpojumu pārtraukšanu un koncentrējas uz klusu, metodisku identitātes aktīvu zādzību. IT speciālistiem un drošības vadītājiem vēstījums ir skaidrs: ierīces, kas aizsargā jūsu tīklu, tagad ir galvenie mērķi. Modrība, ātra ielāpu uzstādīšana un stingra pieeja akreditācijas datu pārvaldībai vairs nav izvēles iespēja — tie ir pamats izdzīvošanai mūsdienu apdraudējumu vidē.

Avoti

• SentinelOne Threat Intelligence Research
• Fortinet Security Advisories and Best Practices
• Cybersecurity & Infrastructure Security Agency (CISA) Alerts on Edge Device Exploitation
• National Institute of Standards and Technology (NIST) Guidelines on Network Gateway Security