FortiGate pod ostrzałem: Jak napastnicy wykorzystują urządzenia sieciowe do przejmowania kont serwisowych
W świecie bezpieczeństwa korporacyjnego firewall nowej generacji (NGFW) jest często postrzegany jako ostateczny strażnik — cyfrowy mur twierdzy zaprojektowany, aby trzymać intruzów na zewnątrz. Jednak seria wyrafinowanych kampanii wywraca tę logikę do góry nogami. Najnowsze ustalenia badaczy cyberbezpieczeństwa z SentinelOne ujawniają, że grupy przestępcze coraz częściej wykorzystują urządzenia FortiGate nie jako bariery, ale jako punkty wejścia do infiltracji sieci o wysokiej wartości.
Wykorzystując niedawno ujawnione luki w zabezpieczeniach lub słabe poświadczenia administracyjne, napastnicy uzyskują dostęp do tych urządzeń, aby wyodrębnić wrażliwe pliki konfiguracyjne. Pliki te są czymś znacznie więcej niż tylko technicznymi schematami; często zawierają one „klucze do królestwa”, w tym poświadczenia kont serwisowych i szczegółowe informacje o topologii sieci. Ten trend sprawił, że sektory takie jak opieka zdrowotna, administracja rządowa i dostawcy usług zarządzanych (MSP) znalazły się na celowniku skoordynowanego cyfrowego ataku.
Brama jako cel
Ironia tej kampanii tkwi w samej naturze urządzenia FortiGate. Ponieważ urządzenia te znajdują się na krawędzi sieci, wymagają znacznych uprawnień do prawidłowego funkcjonowania. Aby zarządzać uwierzytelnianiem użytkowników i zapewniać bezpieczny dostęp, są one często integrowane z kluczową infrastrukturą, taką jak Active Directory (AD) i Lightweight Directory Access Protocol (LDAP).
Według badaczy Alexa Delamotte, Stephena Bromfielda, Mary Braden Murphy i Ameya Patne, ta głęboka integracja jest dokładnie tym, co czyni je tak atrakcyjnymi celami. Gdy napastnik kompromituje urządzenie FortiGate, nie kontroluje tylko firewalla; potencjalnie zyskuje przyczółek w całym systemie zarządzania tożsamością organizacji. Jeśli firewall posiada konto serwisowe z wysokimi uprawnieniami do „odczytu” drzewa AD, napastnik dysponuje teraz tymi samymi uprawnieniami.
Wyodrębnianie cyfrowego schematu
Głównym celem tych ostatnich ataków jest pozyskanie pliku konfiguracyjnego urządzenia. W wielu starszych lub niewłaściwie zabezpieczonych konfiguracjach pliki te zawierają zahaszowane lub nawet słabo zaszyfrowane poświadczenia kont serwisowych. Gdy napastnik wejdzie w posiadanie pliku konfiguracyjnego, może pracować offline nad złamaniem tych haseł bez obawy o uruchomienie sieciowych systemów wykrywania intruzów.
Poza poświadczeniami, pliki konfiguracyjne ujawniają „mapę” sieci wewnętrznej. Szczegółowo opisują struktury VLAN, zaufane strefy i konfiguracje VPN. Dla cyberprzestępcy jest to równoznaczne z posiadaniem planu skarbu w banku i harmonogramu patroli strażników jeszcze przed postawieniem stopy w budynku.
Dlaczego opieka zdrowotna i MSP są zagrożone
Obieranie za cel sektorów opieki zdrowotnej i rządowego to wyrachowany ruch. Organizacje te często przetwarzają bardzo wrażliwe dane i działają pod rygorystycznymi wymogami dotyczącymi czasu dostępności, co czyni je podatnymi na wymuszenia. Jednak skupienie się na dostawcach usług zarządzanych (MSP) stanowi szersze zagrożenie strategiczne.
Firmy MSP często używają urządzeń FortiGate do zarządzania sieciami dziesiątek, a nawet setek różnych klientów. Przełamując zabezpieczenia urządzenia jednego dostawcy MSP, napastnik może potencjalnie uzyskać dostęp do wszystkich klientów zarządzanych przez tego dostawcę. Ten wektor ataku typu „jeden do wielu” pozwala cyberprzestępcom skalować swoje operacje z przerażającą wydajnością.
Anatomia ataku
Chociaż konkretne wykorzystywane luki mogą się różnić, metodologia pozostaje spójna. Napastnicy zazwyczaj postępują zgodnie z procesem trzech kroków:
- Dostęp początkowy: Wykorzystanie niezałatanych podatności (takich jak te znalezione w komponentach SSL VPN) lub stosowanie ataków typu brute-force przeciwko słabym hasłom administracyjnym.
- Eksfiltracja danych: Po wejściu do interfejsu zarządzania napastnik eksportuje konfigurację systemu. Często odbywa się to przy użyciu wbudowanych narzędzi administracyjnych, aby uniknąć wzbudzania podejrzeń.
- Pozyskiwanie poświadczeń: Napastnik analizuje konfigurację pod kątem szczegółów kont serwisowych. Konta te są następnie wykorzystywane do przemieszczania się bocznego (lateral movement) z firewalla do wewnętrznego środowiska serwerowego.
Można to porównać do systemu klucza uniwersalnego. Firewall to drzwi wejściowe, ale konto serwisowe, które posiada, to klucz uniwersalny otwierający wszystkie inne drzwi w budynku. Gdy napastnik ma klucz, drzwi wejściowe przestają mieć znaczenie.
Praktyczna obrona: Wzmacnianie obwodu
Aby przeciwdziałać temu zagrożeniu, organizacje muszą odejść od mentalności „ustaw i zapomnij” w odniesieniu do urządzeń sieciowych. Zespoły ds. bezpieczeństwa powinny priorytetowo traktować następujące działania w celu ochrony swoich środowisk FortiGate:
| Działanie | Opis | Priorytet |
|---|---|---|
| Natychmiastowe łatanie | Zastosuj najnowsze aktualizacje oprogramowania układowego, aby rozwiązać znane błędy CVE w interfejsach SSL VPN i zarządzania WWW. | Krytyczny |
| MFA dla zarządzania | Włącz uwierzytelnianie wieloskładnikowe dla każdego dostępu administracyjnego do interfejsu UI i CLI FortiGate. | Wysoki |
| Audyt kont serwisowych | Stosuj zasadę najmniejszych uprawnień dla kont serwisowych AD/LDAP; upewnij się, że nie mogą one wykonywać zadań administratora domeny. | Wysoki |
| Ograniczenie dostępu do zarządzania | Ogranicz dostęp do interfejsu zarządzania do konkretnych, zaufanych adresów IP (polityki Local-In). | Średni |
| Szyfrowanie konfiguracji | Upewnij się, że kopie zapasowe konfiguracji są szyfrowane silnym, unikalnym hasłem. | Średni |
| Wyłączenie nieużywanych usług | Wyłącz funkcje takie jak SSL VPN, jeśli nie są one aktywnie wymagane do operacji biznesowych. | Wysoki |
W stronę architektury Zero-Trust
Ta kampania służy jako dobitne przypomnienie, że żadne pojedyncze urządzenie nie może być domyślnie zaufane, nawet to zaprojektowane z myślą o bezpieczeństwie. Przejście w stronę architektury Zero-Trust (ZTA) jest najskuteczniejszym rozwiązaniem długoterminowym. W modelu Zero-Trust sieć wewnętrzna nie jest uważana za „bezpieczną strefę” tylko dlatego, że użytkownik przeszedł przez firewall.
Wdrażając mikrosegmentację i ciągłą weryfikację tożsamości, organizacje mogą zapewnić, że nawet jeśli konto serwisowe zostanie skompromitowane poprzez lukę w firewallu, zdolność napastnika do bocznego przemieszczania się zostanie drastycznie ograniczona. Celem jest sprawienie, aby każdy krok napastnika był tak trudny i widoczny, jak to tylko możliwe.
Podsumowanie
Wykorzystywanie urządzeń FortiGate to wyrafinowana ewolucja w krajobrazie zagrożeń. Wykracza ona poza proste zakłócanie usług i koncentruje się na cichej, metodycznej kradzieży zasobów tożsamości. Dla specjalistów IT i liderów bezpieczeństwa przesłanie jest jasne: urządzenia chroniące Twoją sieć są teraz głównymi celami. Czujność, szybkie łatanie i rygorystyczne podejście do zarządzania poświadczeniami nie są już opcjonalne — są podstawą przetrwania w nowoczesnym środowisku zagrożeń.
Źródła
- SentinelOne Threat Intelligence Research
- Fortinet Security Advisories and Best Practices
- Cybersecurity & Infrastructure Security Agency (CISA) Alerts on Edge Device Exploitation
- National Institute of Standards and Technology (NIST) Guidelines on Network Gateway Security
Do zobaczenia po drugiej stronie.
Nasze kompleksowe, szyfrowane rozwiązanie do poczty e-mail i przechowywania danych w chmurze zapewnia najpotężniejsze środki bezpiecznej wymiany danych, zapewniając bezpieczeństwo i prywatność danych.
/ Utwórz bezpłatne konto
