Mais de 430 mil firewalls corporativos são comprometidos em operação de roubo de credenciais

Por Carlos Cabral,

Uma operação criminosa de larga escala, apelidada de FortiBleed, comprometeu mais de 430 mil firewalls produzidos pela Fortinet em todo o mundo e coletou mais de 110 milhões de credenciais corporativas, na forma de senhas, tokens de autenticação e chaves de acesso a sistemas internos. Esta série de ataques, ativa, pelo menos, desde fevereiro desse ano, se mantém em operação no momento em que escrevo esse artigo.

O Brasil figura entre os países afetados. Organizações com firewalls FortiGate expostos à internet, independentemente do setor, estão sob risco direto.

O que foi comprometido e o que isso significa na prática

O caso veio à tona no dia 17 de junho, quando pesquisadores de segurança identificaram um servidor desprotegido na internet contendo dados de mais de 73 mil dispositivos FortiGate com credenciais expostas e também ferramentas usadas pelos atacantes. O Brasil estava em 11º lugar entre os países mais afetados pelo ataque. Na ocasião, poucos detalhes a respeito do método de intrusão estavam disponíveis publicamente. Tais informações vieram depois, em relatórios de empresas que estavam acompanhando o caso com mais proximidade.

A primeira coisa importante a dizer é que o atacante não invadiu os sistemas da Fortinet nem explorou uma vulnerabilidade de software no sentido tradicional. O caminho adotado neste caso dependeu de senhas fracas criadas pelos administradores dos firewalls para posteriormente usar de uma funcionalidade de diagnóstico nativa do equipamento de modo a interceptar silenciosamente todo o tráfego de autenticação que passava por ele.

Sendo direto, o firewall que deveria proteger a rede interna foi transformado em um ponto de interceptação do tráfego de modo que toda senha digitada por um funcionário para acessar o e-mail, o sistema ERP, o Active Directory ou qualquer outro serviço interno de interesse do atacante passou a ser capturada pelo atacante, sem que nenhum software malicioso fosse instalado no aparelho ou que qualquer alarme fosse disparado. Ou seja, definir senhas fracas para um dispositivo tão crítico foi o mesmo que abrir a porta para o criminoso. O qual, conhecendo muito bem as funcionalidades do equipamento, o converteu em um aspirador de senhas para si.

O resultado foi um banco de dados massivo de credenciais corporativas válidas, que o operador usa para vender acesso a redes comprometidas ou para aprofundar a invasão nos sistemas das vítimas.

Leia mais: IBM anuncia menor chip do mundo

Quem está sendo visado

Aproximadamente metade das organizações identificadas no ataque têm menos de 200 funcionários, e quase 90% delas possuem receita anual abaixo de 100 milhões de dólares. Isso não significa que empresas maiores estejam seguras, foram identificadas organizações do Fortune Global 500 entre as vítimas e um contratante de defesa vinculado à OTAN também teve dados confidenciais roubados no último dia 15. Mas o foco em pequenas e médias empresas reflete uma lógica operacional em que o atacante parte do pressuposto de que essas organizações são grandes o suficiente para ter firewalls FortiGate, mas pequenas para ter equipes de segurança dedicadas a gerenciar o equipamento adequadamente e detectar ataques contra ele.

O setor de serviços de TI é o mais atingido. Trata-se de uma escolha estratégica, pois um fornecedor de TI atacado pode se tornar a ponte para o ambiente de seus clientes, geralmente empresas maiores. Também estão entre os mais afetados os setores de telecomunicações, indústria, serviços financeiros e governo.

Geograficamente, Índia, Estados Unidos e Taiwan lideram em número de organizações afetadas, mas a distribuição é verdadeiramente global, com vítimas em mais de 50 países. Inclusive no Brasil.

Quem está por trás da operação

Os relatórios sobre o caso apontam para um operador ou pequeno grupo com nível técnico avançado, cujos sistemas e ferramentas utilizam o idioma russo. A avaliação predominante é a de uma atividade do tipo Initial Access Broker, uma operação criminosa em que o adversário se especializa em invadir redes e vender esse acesso a outras quadrilhas, que podem incluir operadores de ransomware.

O que fazer agora: cinco ações prioritárias

As recomendações abaixo são diretamente baseadas nas orientações da Fortinet e dos órgãos de segurança cibernética internacionais. É recomendável que cada uma seja atribuída a um responsável com prazo definido para a execução.

1. Verificar se sua organização está entre as vítimas. A SOCRadar, umas das empresas que documentou o caso, disponibilizou gratuitamente uma ferramenta de consulta em que qualquer organização pode verificar se seus domínios ou endereços IP aparecem na base de dados comprometida. Acesse este link, nenhum cadastro é necessário;
2. Remover as interfaces de gerenciamento dos firewalls da internet. A Fortinet recomenda explicitamente que painéis administrativos de seus equipamentos nunca sejam acessíveis diretamente pela internet. Esta é a medida preventiva mais importante. O guia oficial com os padrões de segurança da Fortinet para esses dispositivos está disponível aqui;
3. Trocar todas as senhas associadas ao ambiente FortiGate. Isso inclui as contas de administração do firewall, dos acessos VPN e todas as contas de sistemas internos cujas senhas possam ter trafegado por um firewall comprometido. Em ambientes afetados, praticamente qualquer senha de domínio pode ter sido capturada.
   Um alerta importante: simplesmente trocar a senha no painel do FortiGate pode não ser suficiente. Pesquisadores da Arctic Wolf identificaram que o hash da senha anterior pode sobreviver em um campo oculto do arquivo de configuração do FortiGate e continuar sendo utilizável por quem já exportou esse arquivo antes da troca.
   A equipe técnica precisa executar um procedimento adicional de invalidação no próprio sistema operacional do equipamento para eliminar esse risco por completo. A Fortinet documentou esse procedimento;

4. Ativar autenticação em dois fatores em todos os acessos remotos. O mecanismo central de ataque depende de senhas válidas. A autenticação multifator torna uma senha roubada inútil para o atacante. A documentação de configuração para equipamentos Fortinet está aqui;
5. Solicitar auditoria dos logs de autenticação do Active Directory. O atacante, após obter acesso, executa um mapeamento sistemático de contas privilegiadas nos sistemas de identidade corporativos. Padrões anômalos de consulta nesse ambiente, especialmente vindos de fontes suspeitas, podem indicar que a fase de aprofundamento da invasão já começou. A CISA (agência americana de segurança cibernética) publicou orientações específicas para detecção desse tipo de atividade.

Uma questão crucial para os líderes de TI

O FortiBleed não é um ataque que explora uma falha que a Fortinet precisa corrigir. É uma operação que explora credenciais fracas e interfaces administrativas mal configuradas, dois problemas de governança, não de tecnologia. A propósito, este é um momento em que criminosos de todo tipo estão explorando falhas de governança variadas, sobretudo envolvendo a gestão de identidades, de desenvolvimento de software e de dispositivos expostos em redes inseguras.

As perguntas que a liderança deve fazer às equipes técnicas são simples: nossas interfaces de gerenciamento estão expostas à internet? Nossas senhas de administração são fortes e únicas? a troca de senha no FortiGate seguiu o procedimento completo, ou apenas atualizou a senha no painel? Temos autenticação multifator em todos os acessos remotos?

Se a resposta a qualquer uma dessas perguntas for incerta, a prioridade é obter clareza e agir, antes que a resposta para isso venha do cibercrime.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!