Fortinet PSIRT: анализ инцидента с учётными данными FortiGate

Fortinet PSIRT прокомментировал сообщённую компрометацию учётных данных FortiGate и опубликовал рекомендации для служб информационной безопасности.

Корпоративные команды по безопасности, использующие FortiGate на периметре сети, сталкиваются с регулярной проблемой: утечки учётных данных и конфигураций, публикуемые злоумышленниками, могут подорвать защищённость даже хорошо обслуживаемой инфраструктуры. Когда в открытом доступе появляется список якобы скомпрометированных устройств, CISO и руководителям SOC нужны быстрые и подтверждённые вендором ответы — что является реальным, что историческим, а что требует немедленных действий. Fortinet PSIRT обращается именно к этой задаче в своём новом материале о сообщённой компрометации учётных данных FortiGate.

Что было анонсировано

Команда Fortinet PSIRT (Product Security Incident Response Team) опубликовала анализ публично сообщённого инцидента с компрометацией учётных данных, затрагивающего устройства FortiGate. По данным Fortinet, инцидент связан с ранее раскрытой информацией и в значительной степени относится к уязвимостям, которые уже были устранены в более ранних бюллетенях безопасности. Клиенты, применившие эти обновления и выполнившие рекомендации по харденингу, подвержены значительно меньшему риску.

Публикация размещена в официальном блоге Fortinet PSIRT и предназначена для того, чтобы помочь заказчикам проверить текущее состояние защиты, убедиться в отсутствии исторических конфигураций в продуктиве и подтвердить, что скомпрометированные учётные данные были заменены.

Почему это важно

Для CIO, CISO, ИТ-директоров и руководителей закупок это обновление PSIRT — больше, чем рядовое уведомление. Устройства FortiGate, как правило, находятся в самых чувствительных точках сети: на интернет-периметре, в сегментации ЦОД и в узлах SD-WAN. Утечка конфигурации или учётных данных может привести к злоупотреблению VPN, горизонтальному перемещению атакующего и подготовке атак с использованием программ-вымогателей.

Обновление даёт руководителям ИБ чёткую, поддержанную вендором точку отсчёта для отчётов перед советом директоров и аудиторами, приоритизации программ устранения уязвимостей и проверки того, что MSP и интеграторы действительно выполнили рекомендованные шаги по харденингу на всём парке FortiGate.

Технические детали

• Источник: официальный бюллетень и аналитический блог Fortinet PSIRT.
• Область: сообщённая утечка учётных данных и конфигураций, связанная с устройствами FortiGate.
• Первопричина: в значительной степени связана с ранее раскрытыми уязвимостями, уже устранёнными в обновлениях безопасности Fortinet.
• Рекомендуемые действия: установить актуальные обновления FortiOS, заменить административные и VPN-учётные данные, проверить конфигурации и журналы.
• Харденинг: включить MFA для административного доступа и SSL VPN, ограничить доступ к интерфейсам управления, организовать мониторинг через FortiAnalyzer или SIEM.
• Валидация: сверить текущий парк устройств с историческими утечками и убедиться, что прежние учётные данные больше не используются.

Клиенты, поддерживающие актуальные версии FortiOS, использующие MFA и выполняющие рекомендации Fortinet по харденингу, существенно снижают влияние исторических утечек учётных данных

Softprom и Fortinet

Softprom является официальным дистрибьютором Fortinet. Наша команда поддерживает партнёров и заказчиков по вопросам лицензирования, внедрения, аудитов безопасности и готовности к реагированию на инциденты на базе Fortinet Security Fabric, включая FortiGate, FortiAnalyzer, FortiManager и FortiEDR.

Этот материал подготовлен в рамках проекта Softprom DistriFlow — автоматизированной системы мониторинга и адаптации новостей вендоров. Источник: оригинальная статья.