Tấn công đánh cắp mật khẩu quy mô lớn ảnh hưởng 75.000 tường lửa Fortinet

Nếu bạn đang sử dụng tường lửa Fortinet, hãy dừng mọi thao tác lại và thay đổi mật khẩu ngay lập tức.

Những kẻ xâm nhập đã somehow truy cập được vào khoảng 75.000 thiết bị tường lửa Fortinet và đánh cắp thông tin xác thực thuộc về các tập đoàn lớn trên 194 quốc gia. Trong một số trường hợp, việc này dẫn đến việc bị xâm nhập toàn bộ mạng lưới.

Các nhà nghiên cứu bảo mật cho biết họ đã xác minh dữ liệu này. Các mật khẩu FortiGate đã bị bẻ khóa thuộc về các tài khoản trải dài trên nhiều tập đoàn đa quốc gia, bao gồm FoxConn, Samsung, Comcast, Siemens, Lenovo, FedEx, PxW, Accenture, Oracle và nhiều công ty khác.

Hãy kiểm tra xem tổ chức của bạn có trong danh sách các tên miền bị ảnh hưởng không và ngay lập tức thay đổi tất cả mật khẩu liên quan đến VPN Fortinet và các giao diện quản trị.

Đảm bảo rằng xác thực đa yếu tố (MFA) đã được bật, vì loại rò rỉ thông tin xác thực quy mô lớn này có thể dẫn đến hậu quả rất nghiêm trọng, cho phép kẻ tấn công có quyền truy cập từ xa hoàn toàn không chỉ đối với tường lửa mà còn đối với toàn bộ mạng lưới doanh nghiệp.

Quy mô của vụ việc

Hudson Rock, đơn vị đã phân tích dữ liệu, cho biết vụ rò rỉ ảnh hưởng đến 21.632 tên miền duy nhất.

"Quy mô của vụ vi phạm này chạm đến gần như mọi lĩnh vực của nền kinh tế toàn cầu, không bỏ sót ngành nghề nào. Các tác nhân đe dọa đã xây dựng một cơ sở dữ liệu đã được xác minh gồm các thông tin xác thực đang hoạt động đối với một số doanh nghiệp lớn nhất hành tinh", công ty an ninh mạng này cho biết trên blog Infostealer của họ.

Phân tích kỹ thuật và thủ phạm

Nhà nghiên cứu Volodymyr "Bob" Diachenko là người đầu tiên phát hiện ra các cuộc xâm nhập và quy trách nhiệm cho một nhóm nói tiếng Nga.

"Họ chặn xác thực SSL VPN, bẻ khóa các hàm băm (hash) trên cụm 45 GPU được quản lý qua Hashtopolis, và xoay sang các môi trường Active Directory nội bộ", ông viết trên LinkedIn.

Theo Diachenko, chiến dịch này đã xử lý 1,16 tỷ lần thử thông tin xác thực chống lại 320.777 mục tiêu FortiGate và 2,1 tỷ lần thử chống lại 163.650 máy chủ MSSQL.

Hơn nữa, theo Diachenko, những tội phạm đã hoàn toàn chiếm quyền kiểm soát (pwned) ít nhất bốn tổ chức, bao gồm một nhà thầu quốc phòng NATO của Thổ Nhĩ Kỳ, và trong trường hợp đó, chúng đã đánh cắp các tài liệu quốc phòng mật.

Xác minh từ các chuyên gia

Kevin Beaumont, một chuyên gia an ninh mạng cũng đã xác minh các thông tin xác thực bị đánh cắp, cho biết "dữ liệu là thật".

"Tôi đã làm việc với một số tổ chức được liệt kê và có thể xác nhận tên đăng nhập và mật khẩu là thật", Beaumont viết. "Nhiều thiết bị được lấy mẫu đang chạy các bản vá khá mới".

Theo công cụ tìm kiếm thiết bị Shodan, vụ trộm quy mô lớn này chiếm khoảng một nửa số tường lửa Fortinet tiếp xúc với internet. Ngoài ra, Beaumont lưu ý rằng hầu hết các thiết bị Fortinet bị xâm nhập vẫn đang hoạt động trực tuyến.

Vì vậy, nếu bạn vẫn đang đọc câu chuyện này: hãy dừng lại ngay bây giờ và đi đặt lại mật khẩu tường lửa Fortinet của bạn ngay lập tức.

Phản hồi từ Fortinet

Sau khi chúng tôi đăng tải câu chuyện này, Fortinet đã phản hồi, phủ nhận rằng các cuộc tấn công là mới và tuyên bố rằng dữ liệu xuất hiện trên web tối đến từ các vụ vi phạm trước đó.

"Dựa trên phân tích của chúng tôi, dữ liệu liên quan là việc chia sẻ lại dữ liệu từ các sự cố trước đây, cũng như tấn công brute-force thông tin xác thực, và không liên quan đến bất kỳ sự cố hoặc tư vấn gần đây nào", một người phát ngôn của Fortinet nói với The Register.

Các tổ chức tuân theo các thực hành tốt nhất thông thường, bao gồm làm mới thường xuyên thông tin bảo mật, theo hướng dẫn trong bài đăng blog tháng 3 này, sẽ đối mặt với rủi ro tối thiểu từ chi tiết thông tin xác thực bị xâm nhập được đề cập trong báo cáo.

The Register đã liên hệ với các công ty bị ảnh hưởng bởi chiến dịch được gọi là FortiBleed để đưa ra bình luận. Lenovo cho biết họ đang xem xét vấn đề; chúng tôi chưa nhận được phản hồi từ những công ty khác.