De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft Fortinet-klanten met FortiGate-apparaten dringend geadviseerd om maatregelen te nemen tegen een lopende aanvalscampagne die inmiddels 86.644 internettoegankelijke apparaten heeft getroffen. Deze grootschalige campagne, genaamd FortiBleed, wordt toegeschreven aan Russischtalige dreigingsactoren.

Volgens gegevens van SOCRadar zijn de meeste gecompromitteerde inloggegevens generieke beheerdersaccounts (35%) en ingebouwde Fortinet-systeemaccounts (28,3%). De overige 36,7% betreft accounts die specifiek door organisaties zijn aangemaakt. SOCRadar stelt dat dit duidt op een wijdverspreide nalatigheid bij het hernoemen van standaardaccounts en het wijzigen van fabriekswachtwoorden, waardoor aanvallers een betrouwbare lijst met doelwitten hadden zonder brute force te hoeven toepassen. Het feit dat ook organisatie-specifieke accounts zijn gecompromitteerd wijst erop dat aanvallers niet alleen standaardgegevens oogsten, maar ook accounts die mogelijk via eerdere datalekken zijn verkregen en nooit zijn aangepast.

De sectoren telecom, overheid en onderwijs zijn het zwaarst getroffen, met de meeste blootstellingen in landen als India, de Verenigde Staten, Mexico, Colombia en Thailand. De dreigingsactoren hebben het internet massaal gescand op Fortinet remote login endpoints en gebruikgemaakt van een speciaal ontwikkelde tool om bekende gebruikersnaam-wachtwoordcombinaties te proberen. De aanval is volledig geautomatiseerd en volgt een tweeledige aanpak: eerst wordt een samengestelde lijst met gelekte Fortinet-wachtwoorden getest, waarna bij succesvolle toegang het netwerkverkeer passief wordt gemonitord om extra inloggegevens te verzamelen. Deze worden vervolgens gebruikt om meer apparaten te compromitteren. De gebruikte credentials zijn geldig en worden door de aanvallers geverifieerd voordat ze aan een database met werkende logins worden toegevoegd.

Het Britse National Cyber Security Centre (NCSC) beschrijft FortiBleed als een wereldwijde campagne gericht op internetgerichte Fortinet-firewalls en VPN-gateways, waarbij technieken als brute force, dictionary attacks en credential stuffing worden ingezet. Vermoedelijk maken de aanvallers gebruik van oudere methoden voor credential hashing en de wijze waarop inloggegevens historisch zijn opgeslagen in FortiGate-configuratiebestanden. Fortinet heeft in latere versies van FortiOS PBKDF2-gebaseerde wachtwoordhashing geïntroduceerd, maar bij upgrades blijven bestaande beheerderswachtwoorden vaak als oudere SHA-256-hashes opgeslagen totdat de beheerder na de upgrade opnieuw inlogt. Hierdoor blijven veel organisaties mogelijk kwetsbaar door het gebruik van verouderde hashingmechanismen.

Een woordvoerder van Fortinet gaf aan dat de betrokken data waarschijnlijk een hergebruik is van gegevens uit eerdere incidenten, gecombineerd met brute force aanvallen, en niet gerelateerd is aan een actueel incident. Fortinet adviseert organisaties om best practices te volgen, zoals het regelmatig wijzigen van beveiligingsgegevens en het inschakelen van multi-factor authenticatie (MFA). CISA raadt aan om alle actieve SSL VPN- en administratiesessies te beëindigen en alle Fortinet VPN-wachtwoorden te resetten om verdere compromittering te voorkomen.