FortiGate под прицелом: как злоумышленники используют сетевые устройства для захвата сервисных учетных записей
В мире корпоративной безопасности межсетевой экран нового поколения (NGFW) часто рассматривается как главный часовой — цифровая крепостная стена, предназначенная для сдерживания злоумышленников. Однако серия сложных кампаний переворачивает эту логику с ног на голову. Недавние результаты исследований специалистов по кибербезопасности из SentinelOne показывают, что хакеры все чаще используют устройства FortiGate не как барьеры, а как точки входа для проникновения в высокозначимые сети.
Эксплуатируя недавно обнаруженные уязвимости или используя слабые учетные данные администратора, атакующие получают доступ к этим устройствам для извлечения конфиденциальных файлов конфигурации. Эти файлы — гораздо больше, чем просто технические чертежи; они часто содержат «ключи от королевства», включая учетные данные сервисных аккаунтов и подробную информацию о топологии сети. Эта тенденция поставила такие сектора, как здравоохранение, государственное управление и поставщики управляемых услуг (MSP), под прицел скоординированной цифровой атаки.
Шлюз как мишень
Ирония этой кампании заключается в самой природе устройства FortiGate. Поскольку эти устройства находятся на границе сети, им требуются значительные разрешения для корректной работы. Для управления аутентификацией пользователей и обеспечения безопасного доступа они часто интегрируются с основной инфраструктурой, такой как Active Directory (AD) и протокол облегченного доступа к каталогам (LDAP).
По словам исследователей Алекса Деламотта, Стивена Бромфилда, Мэри Брейден Мерфи и Амея Патне, именно эта глубокая интеграция делает их столь привлекательными целями. Когда злоумышленник компрометирует устройство FortiGate, он не просто управляет межсетевым экраном; он потенциально получает плацдарм во всей системе управления идентификацией организации. Если у межсетевого экрана есть сервисная учетная запись с высокими привилегиями для «чтения» дерева AD, злоумышленник теперь обладает теми же привилегиями.
Извлечение цифрового чертежа
Основной целью недавних атак является извлечение файла конфигурации устройства. Во многих устаревших или неправильно защищенных конфигурациях эти файлы содержат хэшированные или даже слабо зашифрованные учетные данные сервисных аккаунтов. Как только злоумышленник получает файл конфигурации, он может работать в автономном режиме, чтобы взломать эти пароли, не опасаясь срабатывания сетевых систем обнаружения вторжений.
Помимо учетных данных, файлы конфигурации раскрывают «карту» внутренней сети. В них подробно описаны структуры VLAN, доверенные зоны и конфигурации VPN. Для хакера это эквивалентно наличию чертежа банковского хранилища и графика патрулирования охраны еще до того, как он переступит порог здания.
Почему здравоохранение и MSP находятся в зоне риска
Выбор в качестве целей секторов здравоохранения и государственного управления — это расчетливый шаг. Эти организации часто работают с высокочувствительными данными и функционируют в условиях строгих требований к бесперебойной работе, что делает их восприимчивыми к вымогательству. Однако акцент на поставщиках управляемых услуг (MSP) представляет собой более широкую стратегическую угрозу.
MSP часто используют устройства FortiGate для управления сетями десятков или даже сотен различных клиентов. Взломав устройство одного MSP, злоумышленник может потенциально получить «нисходящий» доступ ко всем клиентам, находящимся под управлением этого провайдера. Этот вектор атаки «один ко многим» позволяет киберпреступникам масштабировать свои операции с пугающей эффективностью.
Анатомия эксплойта
Хотя конкретные используемые уязвимости могут различаться, методология остается неизменной. Атакующие обычно следуют трехэтапному процессу:
- Первоначальный доступ: Эксплуатация неисправленных уязвимостей (таких как те, что обнаружены в компонентах SSL VPN) или использование атак методом перебора (brute-force) против слабых административных паролей.
- Эксфильтрация данных: Оказавшись внутри интерфейса управления, злоумышленник экспортирует конфигурацию системы. Часто это делается с помощью встроенных административных инструментов, чтобы не вызывать подозрений.
- Сбор учетных данных: Злоумышленник анализирует конфигурацию для поиска данных сервисных аккаунтов. Затем эти учетные записи используются для горизонтального перемещения от межсетевого экрана во внутреннюю серверную среду.
Представьте себе это как систему мастер-ключа. Межсетевой экран — это входная дверь, но сервисная учетная запись, которой он владеет, — это мастер-ключ, открывающий любую другую дверь в здании. Как только у злоумышленника оказывается ключ, входная дверь больше не имеет значения.
Практическая защита: укрепление периметра
Чтобы противостоять этой угрозе, организации должны отказаться от менталитета «настроил и забыл» в отношении сетевых устройств. Группам безопасности следует приоритизировать следующие действия для защиты своих сред FortiGate:
| Действие | Описание | Приоритет |
|---|---|---|
| Немедленное патчинг | Установите последние обновления прошивки для устранения известных CVE в SSL VPN и интерфейсах веб-управления. | Критический |
| МФА для управления | Включите многофакторную аутентификацию для всего административного доступа к интерфейсу и CLI FortiGate. | Высокий |
| Аудит сервисных аккаунтов | Используйте принцип наименьших привилегий для учетных записей AD/LDAP; убедитесь, что они не могут выполнять задачи администратора домена. | Высокий |
| Ограничение доступа к управлению | Ограничьте доступ к интерфейсу управления конкретными доверенными IP-адресами (политики Local-In). | Средний |
| Шифрование конфигурации | Убедитесь, что резервные копии конфигурации зашифрованы с использованием сильного уникального пароля. | Средний |
| Отключение неиспользуемых служб | Отключите такие функции, как SSL VPN, если они не требуются для бизнес-операций. | Высокий |
Переход к архитектуре с нулевым доверием
Эта кампания служит суровым напоминанием о том, что ни одному устройству нельзя безоговорочно доверять, даже предназначенному для обеспечения безопасности. Переход к архитектуре нулевого доверия (ZTA) является наиболее эффективным долгосрочным решением. В модели нулевого доверия внутренняя сеть не считается «безопасной зоной» только потому, что пользователь прошел через межсетевой экран.
Внедряя микросегментацию и непрерывную проверку личности, организации могут гарантировать, что даже если сервисная учетная запись будет скомпрометирована через эксплойт межсетевого экрана, возможность злоумышленника перемещаться по сети будет сильно ограничена. Цель состоит в том, чтобы сделать каждый шаг атакующего как можно более трудным и заметным.
Заключение
Эксплуатация устройств FortiGate — это сложная эволюция в ландшафте угроз. Она выходит за рамки простого нарушения работы сервисов и фокусируется на тихой, методичной краже активов идентификации. Для ИТ-специалистов и руководителей служб безопасности сигнал ясен: устройства, защищающие вашу сеть, теперь сами являются основными целями. Бдительность, оперативное исправление уязвимостей и строгий подход к управлению учетными данными больше не являются факультативными — это базовое условие выживания в современной среде угроз.
Источники
- SentinelOne Threat Intelligence Research
- Fortinet Security Advisories and Best Practices
- Cybersecurity & Infrastructure Security Agency (CISA) Alerts on Edge Device Exploitation
- National Institute of Standards and Technology (NIST) Guidelines on Network Gateway Security
До встречи на другой стороне.
Наше решение для электронной почты и облачного хранения данных со сквозным шифрованием обеспечивает наиболее мощные средства безопасного обмена данными, гарантируя их сохранность и конфиденциальность.
/ Создать бесплатный аккаунт
