O que aconteceu

O FortiBleed comecou associado ao roubo de credenciais de cerca de 75 mil firewalls Fortinet, mas a nova analise revela algo bem maior. Segundo o texto, a operacao teria mirado mais de 430 mil firewalls FortiGate e identificado mais de 110 milhoes de credenciais.

Credenciais sao as informacoes que permitem entrar em sistemas, como usuarios, senhas e dados de autenticacao. Quando esse material cai em maos erradas, o problema nao para no equipamento de origem: a mesma senha pode ser testada em email, VPN, sistemas internos e servicos administrativos.

Como a campanha agia

A publicacao descreve uma operacao voltada a obter acesso inicial dentro das empresas. Em outras palavras, os invasores procuravam uma primeira porta de entrada para depois vender, reutilizar ou ampliar esse acesso.

Entre as tecnicas citadas estao reconhecimento em larga escala, tentativas automatizadas de senha, captura de autenticacoes em 24 protocolos, quebra de hashes e uso posterior contra Active Directory e outros servicos expostos. Na pratica, os criminosos varriam sistemas acessiveis pela internet, validavam credenciais e reaproveitavam tudo que funcionava em novos alvos.

Sinais de alerta

Empresas que usam FortiGate ou os demais servicos citados devem procurar indicios de uso indevido de contas. Alguns sinais merecem atencao imediata:

• tentativas repetidas de login em horarios incomuns;
• acessos de locais, redes ou paises fora do padrao da empresa;
• contas administrativas usadas sem justificativa clara;
• falhas de autenticacao em volume elevado;
• uso da mesma conta em FortiGate, VPN, Active Directory ou bancos MS-SQL.

O que fazer agora

A primeira resposta deve ser cortar a chance de reutilizacao de credenciais. Troque as senhas das contas expostas, com prioridade para contas administrativas, de VPN e de acesso remoto. Se uma senha foi usada em mais de um sistema, ela precisa ser substituida em todos eles.

Tambem vale revisar os acessos em FortiGate, Synology NAS, Sophos, RDWeb, Citrix SSL-VPN e MS-SQL sempre que estiverem expostos na internet. Onde for possivel, ative autenticacao em dois fatores, limite o acesso por origem confiavel e remova contas antigas ou sem dono definido.

Checklist pratico

1. Liste FortiGate, VPN, NAS, RDWeb, Citrix SSL-VPN e MS-SQL expostos na internet.
2. Troque senhas de contas administrativas e bloqueie reutilizacao de senha entre sistemas.
3. Ative autenticacao em dois fatores para acessos remotos e contas privilegiadas.
4. Revise logs de login, falhas repetidas e acessos fora do horario esperado.
5. Remova contas inativas e acompanhe alertas de novas credenciais expostas.

Perguntas frequentes

O FortiBleed afeta apenas FortiGate?

Nao. O texto informa que a operacao tambem teria mirado Synology NAS, Sophos, RDWeb, Citrix SSL-VPN e MS-SQL.

O numero de 110 milhoes significa usuarios unicos?

A fonte fala em credenciais identificadas. Os dados disponiveis nao permitem concluir que sejam 110 milhoes de pessoas ou contas unicas.

Qual e a prioridade para empresas?

Priorize contas administrativas, acessos remotos e servicos expostos na internet. Em seguida, revise logs e remova acessos desnecessarios.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
cybersecbrazil.com.br