-
09/04/2020
-
141
-
1.988 bài viết
Hơn 73.000 tường lửa Fortinet bị xâm nhập trong làn sóng tấn công diện rộng
Một chiến dịch tấn công mạng quy mô toàn cầu mang tên “FortiBleed” vừa được công bố, cho thấy mức độ xâm nhập chưa từng có nhằm vào các thiết bị FortiGate và cổng SSL VPN thông qua việc khai thác lượng lớn thông tin xác thực bị rò rỉ từ các chiến dịch infostealer trước đó.
Mới đây, nhà nghiên cứu bảo mật Volodymyr “Bob” Diachenko phối hợp cùng công ty an ninh mạng Hudson Rock đã công bố phát hiện về "FortiBleed" – một chiến dịch tấn công được vận hành với mức độ tự động hóa cao. Theo dữ liệu phân tích, chiến dịch này đã âm thầm xâm nhập thành công 73.932 URL tường lửa Fortinet tại 194 quốc gia. Theo các nhà nghiên cứu, chiến dịch nhiều khả năng do một nhóm tội phạm mạng nói tiếng Nga thực hiện với phương thức hoạt động bài bản, vượt xa các chiến dịch nhồi nhét thông tin xác thực (credential stuffing) thông thường.
Nhóm tấn công đã triển khai một chiến dịch dò quét quy mô lớn nhằm tìm kiếm các hệ thống Fortinet đang phơi lộ trên Internet. Theo Hudson Rock, hơn 320.000 thiết bị FortiGate đã trở thành mục tiêu của khoảng 1,16 tỷ lượt thử đăng nhập sử dụng thông tin xác thực bị rò rỉ. Song song với đó, kẻ tấn công còn thực hiện khoảng 2,1 tỷ lượt brute-force nhằm vào hơn 160.000 máy chủ MSSQL, qua đó xâm nhập thành công 21.632 tên miền khác nhau.
Thông tin xác thực Fortinet bị lộ (Nguồn: Bob Diachenko)
Điểm khiến FortiBleed trở nên nguy hiểm không nằm ở số lượng mục tiêu bị nhắm tới mà ở cách nhóm này tận dụng dữ liệu từ các chiến dịch infostealer. Thay vì cố gắng bẻ khóa mật khẩu từ đầu, chúng đối chiếu các hệ thống Fortinet phát hiện được với những kho dữ liệu chứa thông tin đăng nhập đã bị đánh cắp trước đó. Chỉ cần một tài khoản hợp lệ, kẻ tấn công có thể nhanh chóng thiết lập chỗ đứng ban đầu, sau đó di chuyển sang môi trường Active Directory để mở rộng quyền truy cập và kiểm soát sâu hơn hệ thống nội bộ.
Đáng chú ý, các nhà nghiên cứu còn ghi nhận hoạt động thu thập hash xác thực từ các phiên đăng nhập SSL VPN. Những hash này sau đó được chuyển tới một cụm hạ tầng gồm 45 GPU chuyên dụng, vận hành thông qua Hashtopolis, để thực hiện bẻ khóa ngoại tuyến. Cách tiếp cận này cho phép kẻ tấn công khôi phục thêm thông tin xác thực mà không cần tiếp tục tương tác trực tiếp với hệ thống nạn nhân.
Sau khi vượt qua lớp bảo vệ biên, chiến dịch không dừng lại ở việc duy trì quyền truy cập. Nhóm tấn công còn theo dõi lưu lượng đi qua VPN nhằm thu thập thêm tài khoản và mật khẩu mới xuất hiện trong quá trình người dùng đăng nhập. Điều này tạo ra một vòng lặp tự mở rộng, trong đó mỗi lần xâm nhập thành công lại cung cấp thêm thông tin xác thực để tiếp tục mở rộng phạm vi tấn công sang các hệ thống khác.
FortiBleed không chỉ nhắm vào một khu vực hay một ngành nghề cụ thể mà đã lan rộng tới nhiều lĩnh vực trọng yếu trên toàn cầu. Theo nghiên cứu của Diachenko, các vụ xâm nhập đã được ghi nhận tại nhiều tổ chức ở Nhật Bản, Đài Loan, Việt Nam, Iraq và Thổ Nhĩ Kỳ. Đáng lo ngại nhất, một nhà thầu quốc phòng thuộc NATO tại Thổ Nhĩ Kỳ được cho là đã bị đánh cắp các tài liệu quốc phòng mật, cho thấy mức độ nghiêm trọng của chiến dịch không dừng lại ở việc chiếm quyền truy cập hệ thống.
Quy mô của cơ sở dữ liệu mà nhóm tấn công thu thập được cũng phản ánh phạm vi ảnh hưởng rộng lớn của chiến dịch. Trong đó xuất hiện thông tin xác thực liên quan đến nhiều tập đoàn hàng đầu thế giới như Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture và Comcast, cùng hàng nghìn cơ quan chính phủ, tổ chức công và đơn vị vận hành hạ tầng trọng yếu. Điều này cho thấy FortiBleed không chỉ là một chiến dịch nhắm vào thiết bị Fortinet, mà còn là cánh cửa để kẻ tấn công tiếp cận mạng lưới của nhiều tổ chức quan trọng trên toàn thế giới.
Quy mô của cơ sở dữ liệu mà nhóm tấn công thu thập được cũng phản ánh phạm vi ảnh hưởng rộng lớn của chiến dịch. Trong đó xuất hiện thông tin xác thực liên quan đến nhiều tập đoàn hàng đầu thế giới như Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture và Comcast, cùng hàng nghìn cơ quan chính phủ, tổ chức công và đơn vị vận hành hạ tầng trọng yếu. Điều này cho thấy FortiBleed không chỉ là một chiến dịch nhắm vào thiết bị Fortinet, mà còn là cánh cửa để kẻ tấn công tiếp cận mạng lưới của nhiều tổ chức quan trọng trên toàn thế giới.
Mật khẩu mạnh được phát hiện trong cơ sở dữ liệu thu thập được (Nguồn: Hudson Rock)
FortiBleed cho thấy một thực tế đáng lo ngại rằng mật khẩu phức tạp không còn là “tấm khiên” đủ mạnh trước các chiến dịch đánh cắp thông tin hiện đại. Nhiều mật khẩu dài hơn 20 ký tự vẫn bị lộ không phải vì bị bẻ khóa, mà do đã bị mã độc infostealer đánh cắp trực tiếp từ thiết bị của người dùng và đưa vào các cơ sở dữ liệu ngầm. Khi thông tin đăng nhập bị lấy cắp ngay từ điểm cuối, độ dài hay độ phức tạp của mật khẩu gần như không còn nhiều ý nghĩa trong việc ngăn chặn kẻ tấn công.
Trước mức độ nghiêm trọng của FortiBleed, các chuyên gia khuyến nghị tổ chức đang sử dụng thiết bị Fortinet cần nhanh chóng triển khai các biện pháp sau:
Trước mức độ nghiêm trọng của FortiBleed, các chuyên gia khuyến nghị tổ chức đang sử dụng thiết bị Fortinet cần nhanh chóng triển khai các biện pháp sau:
- Thay đổi toàn bộ thông tin xác thực: Đặt lại ngay mật khẩu VPN và tài khoản quản trị trên các thiết bị Fortinet. Nếu thông tin xác thực đã xuất hiện trong các kho dữ liệu bị rò rỉ, độ phức tạp của mật khẩu cũ không còn ý nghĩa bảo vệ.
- Triển khai xác thực đa yếu tố (MFA): Áp dụng MFA cho tất cả các cổng truy cập từ xa nhằm giảm thiểu nguy cơ bị lạm dụng bởi các thông tin xác thực đã bị đánh cắp.
- Rà soát nhật ký truy cập: Kiểm tra các bản ghi hoạt động của Fortinet để phát hiện các dấu hiệu bất thường như đăng nhập từ vị trí lạ, phiên quản trị không xác định hoặc lưu lượng truy cập tăng đột biến.
- Hạn chế truy cập giao diện quản trị: Thiết lập các chính sách local-in để chỉ cho phép các địa chỉ IP đáng tin cậy truy cập giao diện quản trị, đồng thời vô hiệu hóa FortiCloud SSO nếu không thực sự cần thiết.