Sajber bezbednosna zajednica suočava se sa jednom od najvećih i najefikasnijih operacija prikupljanja akreditiva u poslednjih nekoliko godina. Otkrivena je visoko automatizovana, višefazna kampanja pod nazivom FortiBleed, primarno usmerena na nezaštićene i neadekvatno ažurirane FortiGate zaštitne zidove (firewall).

Kroz koordinisano i masovno skeniranje javnog IP prostora, napadači su uspeli da kompromituju ogroman broj mrežnih uređaja i „požnju“ preko 110 miliona kredencijala. Ono što ovu kampanju čini posebno opasnom jeste struktura ukradenih podataka: među njima se nalazi 14,8 miliona RADIUS akreditiva i preko 89 miliona MySQL autentifikacionih tokena, što napadačima otvara vrata za sekundarne, visoko ciljane napade na korporativne mreže i baze podataka širom sveta.

Anatomija operacije FortiBleed: Kako je izveden istorijski proboj

Kampanja FortiBleed predstavlja evoluciju u pristupu masovnoj eksploataciji. Umesto da se fokusiraju na dugotrajno i tiho infiltriranje u pojedinačne mreže, akteri iza ove operacije primenili su pristup industrijskog obima, koji se sastoji iz tri ključne faze:

1. Globalno izviđanje i masovno skeniranje

Koristeći napredne botnet mreže i modifikovane alate za brzo skeniranje portova (poput masovnih implementacija ZMap i Masscan protokola), napadači su mapirali internet u potrazi za aktivnim FortiGate uređajima. Primarna meta bili su sistemi koji i dalje pokreću starije, ranjive verzije operativnog sistema FortiOS, odnosno uređaji na kojima nisu primenjene kritične bezbednosne zakrpe (patches).

2. Eksploatacija memorije i ekstrakcija podataka

Ime kampanje – FortiBleed – predstavlja direktnu asocijaciju na zloglasni Heartbleed propust iz prošlosti. Maliciozni akteri su iskoristili specifične ranjivosti curenja informacija iz memorije (Memory Leak/Buffer Overread). Slanjem posebno skrojenih, malformisanih paketa ka upravljačkom interfejsu (Management Interface) ili VPN portalima FortiGate uređaja, napadači su primorali sisteme da u odgovorima vrate delove sirove radne memorije (RAM).

U tim delovima memorije nalazili su se privremeni podaci, keširani tokeni i kredencijali korisnika koji su u tom trenutku bili aktivni na mreži ili su vršili autentifikaciju.

3. Automatizovano parsiranje i kategorizacija

Prikupljeni sirovi podaci sa stotina hiljada uređaja automatski su slani na komandne i kontrolne (C2) servere napadača. Tamo su napredni skriptovi za parsiranje vršili prepoznavanje šablona (regex pattern matching) kako bi iz memorijskog smeća izolovali validne korisničke podatke. Rezultat ovog procesa je baza koja sadrži:

Preko 89 miliona MySQL autentifikacionih tokena.

14,8 miliona RADIUS (Remote Authentication Dial-In User Service) kredencijala.

Milione drugih VPN, LDAP i administratorskih lozinki.

Zašto su ukradeni RADIUS i MySQL podaci tempirana bomba?

U bezbednosnoj arhitekturi, RADIUS i MySQL predstavljaju kritične tačke oslonca. Kompromitovanje ovih specifičnih tokena i akreditiva nosi dalekosežne posledice:

Urušavanje Enterprise Autentifikacije (RADIUS): RADIUS protokol se koristi za centralizovano upravljanje autentifikacijom, autorizacijom i računovodstvom (AAA) unutar velikih korporativnih mreža. On upravlja pristupom za poslovne VPN sisteme, Wi-Fi mreže i mrežne prekidače (switches). Posedovanjem 14,8 miliona RADIUS kredencijala, napadači mogu da zaobiđu spoljne odbrambene perimetre i uđu u mreže organizacija sa legitimnim korisničkim pravima, često potpuno neprimetno za standardne IDS/IPS sisteme.

Direktan pristup podacima (MySQL): Preko 89 miliona MySQL tokena znači da napadači imaju direktan, autentifikovan pristup bazama podataka u kojima se čuvaju osetljivi poslovni podaci, informacije o korisnicima, finansijske transakcije i intelektualna svojina. Ovo postavlja idealnu osnovu za operacije iznude, krađe identiteta ili brisanja baza podataka u okviru ransomware napada.

Indikatori kompromitovanja (IoC) i taktike lateralnog kretanja

Nakon što obezbede inicijalni pristup preko kompromitovanih FortiGate uređaja, napadači ne pokreću odmah destruktivne akcije. Oni primenjuju taktiku dugotrajnog prisustva (Persistence). Odbrambeni timovi bi trebalo da obrate pažnju na sledeće anomalije u logovima:

Sumnjive promene u FortiOS konfiguraciji: Kreiranje novih, neautorizovanih administratorskih naloga ili izmene u pravilima firewall-a koje dozvoljavaju pristup sa nepoznatih eksternih IP adresa.

Neobične RADIUS sesije: Autentifikacioni zahtevi koji dolaze u neuobičajeno vreme (npr. van radnog vremena) ili geografske lokacije koje ne odgovaraju stvarnoj lokaciji zaposlenih (tzv. Impossible Travel anomalija).

Masovni izvoz podataka iz MySQL baza: Nagli skokovi u odlaznom (outbound) mrežnom saobraćaju sa servera baza podataka ka eksternim IP adresama.

Strategija sanacije i preventive za IT administratore

Ukoliko vaša organizacija koristi FortiGate uređaje, neophodno je hitno sprovođenje sledećih koraka kako bi se neutralisao rizik od FortiBleed kampanje:

1. Hitno ažuriranje operativnog sistema (Patch Management)

Instalirajte najnovije stabilne verzije FortiOS-a koje je izdao proizvođač. Primena bezbednosnih zakrpa je jedini način da se zatvore ranjivosti u memoriji koje skeneri eksploatišu.

2. Izolacija upravljačkog interfejsa (Management Interface)

Upravljački interfejs FortiGate uređaja (HTTPS/SSH) nikada ne bi smeo da bude direktno izložen javnom internetu. Pristup administratorskom panelu mora biti restriktovan isključivo na lokalnu upravljačku mrežu (Management VLAN) ili dozvoljen samo preko striktno definisanih IP adresa (Whitelisting).

3. Opoziv i zamena svih tokena i lozinki (Credential Revocation)

S obzirom na masovnost kampanje, preporučuje se preventivni opoziv svih aktivnih MySQL sesija i tokena, kao i prinudna promena lozinki za sve korisnike u RADIUS i Active Directory sistemima. Pretpostavite da su trenutni kredencijali kompromitovani ukoliko je uređaj bio nezaštićen u proteklom periodu.

4. Implementacija MFA na svim nivoima

Čak i ako napadač poseduje validan RADIUS korisnički nalog ili VPN lozinku, implementacija višenivojske autentifikacije (MFA), po mogućstvu bazirane na FIDO2 standardu ili hardverskim tokenima, može uspešno sprečiti neovlašćeni upad u mrežu.

Zaključak

Kampanja FortiBleed jasna je opomena da sajber kriminalci više ne gube vreme na pojedinačne proboje ukoliko mogu automatizovano da eksploatišu strukturalne propuste u popularnom mrežnom hardveru. Žetva od preko 110 miliona kredencijala obezbediće napadačima pogonsko gorivo za operacije u mesecima koji dolaze.

Za IT sistemske administratore i inženjere bezbednosti, održavanje higijene ruter i firewall uređaja kroz redovan patch menadžment i primenu Zero Trust principa više nije opcija – to je prva i najvažnija linija odbrane u očuvanju integriteta korporativnih sistema.

Leave a Reply