Cibercriminosos supostamente hackearam dezenas de milhares de firewalls do Fortinet usados por grandes empresas em todo o mundo
Cybercriminals allegedly hacked tens of thousands of Fortinet firewalls used by major companies all over the world
Cibercriminosos comprometeram dezenas de milhares de firewalls e VPNs da Fortinet usados por grandes empresas em todo o mundo, de acordo com duas empresas de segurança cibernética.
A campanha de hacking generalizada, que está em andamento e foi batizada de FortiBleed, parece não envolver o abuso de nenhuma vulnerabilidade desconhecida nos dispositivos alvo, mas sim em um problema mais básico: As empresas podem não estar mudando as senhas do firewall, nem garantindo que as credenciais que usam para sistemas sensíveis expostos na internet não estejam já conhecidas por hackers.
Nesta campanha, os hackers estão usando ferramentas automatizadas para escanear a internet em busca de firewalls e VPNs da Fortinet expostos. Em seguida, eles estão entrando nos dispositivos graças a listas de senhas conhecidas anteriormente. Nesse ponto, os cibercriminosos podem roubar mais dados sensíveis das empresas vítimas, conforme relatado pelas empresas de segurança cibernética Hudson Rock e SOCRadar em seus relatórios publicados esta semana.
“Uma vez que um dispositivo é comprometido, [os hackers] o usam como um posto de escuta, monitorando o tráfego passando por ele e coletando quaisquer credenciais adicionais que flutuem. Essas senhas recém-coletadas são então alimentadas de volta ao scanner para comprometer ainda mais dispositivos. O sistema alimenta a si mesmo,” escreveu a SOCRadar.
A Hudson Rock disse que encontraram evidências que sugerem que mais de 73.000 URLs únicas da Fortinet foram hackeados, enquanto a SOCRadar disse que o total de dispositivos hackeados é superior a 30.000.
De acordo com a Hudson Rock, as empresas hackeadas incluem: Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens e PwC.
Um porta-voz da Lenovo confirmou a recebimento da solicitação de comentário da TechCrunch, mas não respondeu. Nenhuma das outras empresas respondeu a uma solicitação de comentário.
De acordo com ambas a Hudson Rock e a SOCRadar, os países mais afetados são a Índia, os Estados Unidos, Taiwan e o México. Mas ambas as empresas dizem que há vítimas em todo o mundo. Quanto às indústrias, as mais afetadas são os serviços de TI, materiais de construção e telecomunicações, de acordo com a Hudson Rock. Agências governamentais também estão entre as vítimas, conforme relatado pela SOCRadar. Ambas as empresas de segurança cibernética disseram que o grupo por trás da campanha de hacking parece ser de falantes de russo.
A Fortinet não respondeu a uma solicitação de comentário.
Os relatórios da Hudson Rock e da SOCRadar são baseados na descoberta de uma lista de credenciais para dispositivos da Fortinet e empresas associadas. Esta campanha de hacking foi relatada pela primeira vez pelo pesquisador de segurança Bob Diachenko no fim de semana. O pesquisador de segurança independente Kevin Beaumont disse em um post de blog na quarta-feira que analisou os dados e confirmou que os dados “são legítimos”.
Em anos recentes, vários ataques hacking têm alvo e comprometido dispositivos da Fortinet, geralmente abusando de vulnerabilidades nesses sistemas. Em vez disso, nesse caso, os hackers estão confiando em senhas vazadas, um ataque mais simples e menos sofisticado.
