Hakerzy nie musieli łamać zabezpieczeń. Wystarczyły... stare hasła

Zamiast wyszukanej podatności czy nowej techniki ataku wystarczyły prawdopodobnie stare hasła, automatyczne skanowanie internetu i urządzenia, do których nadal dało się zalogować przy użyciu od dawna nieużywanych danych. To chyba bardziej historia o zaniedbaniach niż o hakerskim geniuszu.

Kampania nazwana FortiBleed miała objąć dziesiątki tysięcy firewalli i bram VPN Fortinet używanych przez firmy i instytucje na całym świecie. To urządzenia, które w wielu organizacjach stoją na pierwszej linii obrony i kontrolują dostęp do firmowej sieci. Jeśli napastnik przejmie taki punkt, nie musi już szukać sposobu, żeby dostać się do środka.

Według badaczy napastnicy mieli korzystać z list wcześniej znanych haseł lub takich, które wyciekły. Automatyczne narzędzia skanowały internet w poszukiwaniu wystawionych urządzeń Fortinet, a następnie sprawdzały po kolei, czy znane dane logowania nadal działają. Jeśli działały, urządzenie trafiało na listę przejętych punktów dostępu.

Fortinet twierdzi, że nie mamy tu do czynienia z nową luką ani świeżym incydentem bezpieczeństwa. Firma wskazuje raczej na kampanię zbierania poświadczeń, wykorzystanie danych z wcześniejszych zdarzeń i próby brute force, czyli wielokrotnego zgadywania haseł. To oznacza, że sama aktualizacja oprogramowania może nie wystarczyć, jeśli organizacja zostawiła w użyciu stare dane logowania.

Firewall i brama VPN to jedne z najważniejszych elementów firmowej infrastruktury. Firewall kontroluje ruch między siecią wewnętrzną a światem zewnętrznym. VPN pozwala pracownikom albo administratorom łączyć się z firmą zdalnie. Są to więc urządzenia, które mają pilnować granicy organizacji.

Jeśli ktoś ma login i hasło do takiego urządzenia, sytuacja jest zupełnie inna niż przy przejęciu zwykłego konta w jakiejś usłudze. Napastnik może próbować zmieniać konfigurację, podejrzeć ruch, tworzyć dodatkowe konta, osłabiać zabezpieczenia albo przygotować sobie ukryte wejście na później. Może też używać przejętego urządzenia jak punktu obserwacyjnego.

Po wejściu do jednego urządzenia przestępcy mogą monitorować ruch i wyłapywać kolejne dane logowania przepływające przez sieć. Te nowe hasła trafiają potem z powrotem do automatycznego systemu ataku. W efekcie maszyna sama się napędza: jedno przejęcie pomaga w kolejnych.

Różne zespoły badawcze podają różne liczby, bo sprawa jest bardzo dynamiczna i nadal analizowana. Jedne szacunki mówią o ponad 30 tys. potwierdzonych urządzeń. Inne wskazują na ok. 75 tys. firewalli i bram VPN, a najnowsze dane jednej z firm badawczych mówią nawet o ponad 80 tys. przejętych punktów dostępu w 194 krajach.

Nie trzeba znać ostatecznej liczby co do jednego urządzenia, żeby zrozumieć wagę problemu. Mówimy o kampanii globalnej, obejmującej firmy, operatorów telekomunikacyjnych, usługi IT, sektor finansowy, zdrowie, edukację, energetykę i administrację publiczną. Wśród wskazywanych ofiar pojawiają się duże marki, choć część z nich nie potwierdziła publicznie szczegółów.

To bardzo częsty scenariusz przy dużych incydentach bezpieczeństwa. Nawet jeśli gdzieś krąży lista wykradzionych danych logowania, każda firma musi samodzielnie sprawdzić, czy dotyczą one jej urządzeń, czy nadal działały i czy ktoś faktycznie wykorzystał je do uzyskania dostępu. Już samo pojawienie się na takiej liście powinno jednak zapalić czerwoną lampkę.

Nasze stare hasła potrafią żyć zaskakująco długo. Często myślimy o cyberatakach jak o jednorazowych akcjach – dziś ktoś znalazł lukę, dziś doszło do włamania, jutro pojawia się poprawka i sprawa zamknięta. Tak naprawdę jednak dane wykradzione miesiące, a nawet lata temu mogą nagle wrócić do gry i nadal działać.

Jeżeli po wcześniejszym incydencie firma zainstalowała aktualizację, ale nie zmieniła haseł administratorów, problem nie zniknął. Jeśli hasło z konfiguracji dało się złamać, a potem nadal działało, napastnik mógł po prostu zalogować się jak uprawniony użytkownik. Bez eksplozji w logach, bez spektakularnego exploita, bez przełamywania drzwi. Po prostu klucz pasował do zamka.

Przeczytaj także:

To robi się szczególnie niebezpieczne wtedy, gdy takie urządzenia są wystawione bezpośrednio do internetu. Panel administracyjny firewalla nie powinien być publicznie dostępny dla każdego, kto go znajdzie. A jeśli już z jakiegoś powodu musi być dostępny zdalnie, powinien mieć silne hasła, MFA, ograniczenia dostępu i monitorowanie prób logowania.