O grupare de hackeri, cunoscută sub numele de “Grupul Belsen”, a publicat recent pe un forum de hacking de pe dark web o listă ce conține date sensibile ale 15.000 de dispozitive Fortinet FortiGate compromise. Această listă include adrese IP, configurații și chiar parole ale dispozitivelor afectate. Mai alarmant, printre aceste dispozitive compromise se numără și echipamente utilizate în România.
Acest incident ridică un semnal de alarmă pentru proprietarii de firme mici și mijlocii, care se bazează pe astfel de dispozitive pentru securitatea rețelei lor.
Cum au fost compromise aceste dispozitive?
Conform informațiilor disponibile, atacatorii au exploatat vulnerabilitatea CVE-2022-40684, o breșă critică care permite bypass-ul autentificării în soluțiile FortiOS, FortiProxy și FortiSwitch Manager. Această vulnerabilitate a fost descoperită în 2022 și permite hackerilor să acceseze direct sistemele protejate de aceste firewall-uri fără a avea nevoie de autentificare.
Mai exact:
- Exploatarea vulnerabilității a permis accesarea interfeței de administrare a dispozitivelor.
- Datele par să fi fost colectate în octombrie 2022, însă au fost publicate recent, ceea ce indică faptul că unele dispozitive afectate ar putea rămâne vulnerabile.
De ce este acest incident grav pentru firme?
Firewall-urile Fortinet FortiGate sunt utilizate preponderent de firme pentru protecția rețelelor interne. Spre deosebire de echipamentele folosite acasă de persoane fizice, aceste dispozitive protejează rețele care gestionează date sensibile precum:
- Informații despre clienți
- Date financiare
- Acces la servere și sisteme interne ale companiei
Un atac reușit asupra acestor firewall-uri poate duce la:
- Scurgerea de informații confidențiale
- Pierderi financiare semnificative
- Întreruperea activității firmei prin atacuri de tip ransomware
Impactul în România
Prezența dispozitivelor din România în această listă este îngrijorătoare, având în vedere că multe companii mici și mijlocii din țară utilizează astfel de soluții pentru a asigura securitatea cibernetică. În lipsa unor măsuri preventive, aceste companii riscă să devină victime ale unor atacuri cibernetice.
Ce trebuie să facă firmele pentru a preveni astfel de situații?
- Actualizarea firmware-ului
Fortinet a lansat patch-uri pentru CVE-2022-40684 încă din 2022. Asigurați-vă că toate dispozitivele rulează cea mai recentă versiune a firmware-ului. - Schimbarea parolelor de acces
- Configurați parole complexe și unice.
- Evitați utilizarea parolelor implicite sau simple.
- Limitarea accesului la interfața de administrare
Permiteți accesul la interfața de administrare doar din rețele de încredere sau prin VPN. - Monitorizarea activității de rețea
- Configurați alarme pentru acces neautorizat.
- Monitorizați regulat log-urile pentru activități suspecte.
- Implementarea unui plan de răspuns la incidente
Firmele ar trebui să aibă un plan de acțiune în cazul unui atac cibernetic, inclusiv metode de izolare a dispozitivelor compromise.
Incidentul legat de firewall-urile Fortinet FortiGate evidențiază riscurile semnificative la care sunt expuse firmele care nu își actualizează la timp dispozitivele și nu implementează măsuri de securitate suplimentare. Proprietarii de companii mici și mijlocii din România trebuie să conștientizeze importanța protejării rețelelor lor și să acționeze preventiv.
Recomandare: Dacă firma dvs. utilizează firewall-uri Fortinet FortiGate, verificați imediat configurația și aplicați actualizările necesare. O investiție minimă în securitate cibernetică poate preveni pierderi financiare majore și daune de imagine.
