Hogyan támadnak a hekkerek?
A fenti hibák csak akkor kihasználhatók, ha a FortiCloud SSO-funkció aktív, ami alapesetben nincs bekapcsolva, de automatikusan aktiválódik, ha a FortiCare-felületen keresztül regisztrálják az eszközt. Az Arctic Wolf biztonsági cég kutatói december 12-étől kezdve figyelték meg az első támadásokat több, főként Ázsiához köthető szolgáltató IP-címéről. A hekkerek adminisztrátori fiókokat céloztak hamis egyszeri bejelentkezéssel (SSO), majd miután hozzáfértek a webes kezelőfelülethez, letöltötték a rendszerkonfigurációs állományait.
Konfigurációs fájlok veszélyei
Ezek a fájlok részletes információkat tartalmaznak a hálózati felépítésről, a külső szolgáltatásokról, tűzfalbeállításokról, útvonalakról és a felhasználói jelszavak kivonatolt változatairól, melyek könnyen feltörhetők, ha gyengék. Az adatlopás egyértelműen rosszindulatú támadás, amely további behatolásokat is előkészíthet.
Hogyan védekezz?
A hibák számos Fortinet-termék több verzióját érintik, kivéve a FortiOS 6.4-et, a FortiWeb 7.0-t és 7.2-t. Amíg nincs lehetőség a frissítésre, ideiglenesen érdemes kikapcsolni a FortiCloud bejelentkezési lehetőségét: System → Settings → Allow administrative login using FortiCloud SSO = Off. Biztonságod érdekében célszerű mielőbb legalább az alábbi verziókra váltani: FortiOS 7.6.4+, FortiProxy 7.6.4+, FortiSwitchManager 7.2.7+, FortiWeb 8.0.1+. Ha adatlopás gyanúja merül fel, azonnal cseréld a tűzfal jelszavait, és korlátozd a menedzsment-hozzáférést a belső hálózatra.
