📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) instou na quinta-feira os clientes da Fortinet com dispositivos FortiGate a tomarem medidas para se protegerem contra atividades maliciosas contínuas destinadas a milhares de dispositivos acessíveis pela Internet.
A campanha abrangente, que se acredita ser obra de atores ameaçadores de língua russa, recebeu o codinome FortiBleed. O número de dispositivos comprometidos era de 86.644 em 19 de junho de 2026.
De acordo com dados do SOCRadar, contas de administrador genéricas (35%) e contas integradas do sistema Fortinet (28,3%) juntas constituem a maioria das credenciais comprometidas. As contas específicas da organização representam 36,7% das credenciais violadas restantes.
“Isso aponta diretamente para uma falha generalizada em renomear contas padrão ou alternar credenciais de fábrica, dando ao invasor uma lista de alvos altamente confiável antes mesmo de qualquer força bruta ser necessária”, disse SOCRadar.
“As contas específicas da organização no topo da lista são significativas. Isso significa que o invasor não está apenas coletando credenciais padrão, mas também comprometeu com sucesso contas criadas pelas próprias organizações, possivelmente provenientes de violações anteriores em que as senhas nunca foram alteradas.”
As telecomunicações, o governo e a educação surgiram como os três principais setores impactados, com a maior exposição localizada na Índia, nos EUA, no México, na Colômbia e na Tailândia.
Diz-se que o ator da ameaça fez uma varredura em massa na Internet em busca de endpoints de login remoto da Fortinet e, em seguida, empregou uma ferramenta personalizada para pulverizar esses endpoints identificados com combinações conhecidas de login e senha, na tentativa de invadi-los.
O ataque totalmente automatizado é construído em torno de uma abordagem autossustentável em duas etapas -
O agente da ameaça tenta obter uma lista selecionada de senhas Fortinet vazadas em dispositivos na Internet.
Uma vez obtido o acesso, eles monitoram passivamente o tráfego de rede que passa pelos dispositivos para coletar credenciais adicionais, que são então usadas para comprometer mais dispositivos.
As credenciais são legítimas e válidas, e os invasores verificam cada uma delas antes de serem adicionadas a um banco de dados de logins funcionais confirmados.
“A escala desta violação afecta quase todos os sectores da economia global, não poupando nenhuma indústria”, disse Hudson Rock. “Os atores da ameaça construíram um banco de dados verificado de credenciais de trabalho para algumas das maiores empresas do planeta”.
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) descreveu o FortiBleed como uma campanha global que visa firewalls Fortinet voltados para a Internet e gateways VPN usando métodos como força bruta, ataque de dicionário e preenchimento de credenciais.
Suspeita-se que os agentes da ameaça provavelmente exploraram mecanismos de hash de credenciais mais antigos e a forma como as credenciais foram historicamente armazenadas nos arquivos de configuração do FortiGate para realizar o ataque em grande escala.
“A Fortinet introduziu hash de senha baseado em PBKDF2 para credenciais de administrador no FortiOS 7.2.11, 7.4.8 e 7.6.1, substituindo o mecanismo de armazenamento herdado baseado em SHA-256”, disse Arctic Wolf. “No entanto, ao atualizar de versões anteriores, as senhas de administrador existentes permanecem armazenadas como hashes SHA-256 até que o administrador correspondente faça login com êxito após a atualização.”
“Como resultado, muitas organizações provavelmente continuam a armazenar credenciais de administrador usando SHA-256 mais antigo com mecanismos de hashing Salt.”
Em uma declaração compartilhada com o The Hacker News, um porta-voz da Fortinet disse que “os dados envolvidos são provavelmente um novo compartilhamento de dados de incidentes anteriores, bem como força bruta de credenciais, e não relacionados a nenhum incidente ou aviso atual”, instando as organizações a seguirem as melhores práticas, incluindo a rotação regular de credenciais de segurança e a ativação da autenticação multifator (MFA).
A CISA delineou as seguintes recomendações para se defender contra a atividade -
Encerre todas as sessões administrativas e VPN SSL ativas, redefina todas as VPNs Fortinet e senhas administrativas, especialmente em sistemas voltados para a Internet, e aplique políticas de senhas fortes.
Garanta o uso do algoritmo Função 2 de derivação de chave baseada em senha (PBKDF2) para armazenar credenciais de administrador e remover hashes legados mais fracos.
Revise os logs de firewall, VPN, autenticação e controlador de domínio em busca de sinais de ações suspeitas, incluindo alterações não autorizadas na configuração.
Habilite MFA resistente a phishing em todos os gateways externos e interfaces administrativas.
Reduza a superfície de ataque e bloqueie o gerenciamento.
O incidente FortiBleed veio à tona na semana passada, depois que o pesquisador de segurança Volodymyr “Bob” Diachenko descobriu um servidor contendo o banco de dados de credenciais de login funcionais para milhares de firewalls e gateways VPN em 194 países. De acordo com o SOCRadar, o servidor também preparou as ferramentas e scripts de automação do invasor.
As descobertas demonstram mais uma vez como a reutilização de credenciais e a utilização de senhas inadequadas
A campanha abrangente, que se acredita ser obra de atores ameaçadores de língua russa, recebeu o codinome FortiBleed. O número de dispositivos comprometidos era de 86.644 em 19 de junho de 2026.
De acordo com dados do SOCRadar, contas de administrador genéricas (35%) e contas integradas do sistema Fortinet (28,3%) juntas constituem a maioria das credenciais comprometidas. As contas específicas da organização representam 36,7% das credenciais violadas restantes.
“Isso aponta diretamente para uma falha generalizada em renomear contas padrão ou alternar credenciais de fábrica, dando ao invasor uma lista de alvos altamente confiável antes mesmo de qualquer força bruta ser necessária”, disse SOCRadar.
“As contas específicas da organização no topo da lista são significativas. Isso significa que o invasor não está apenas coletando credenciais padrão, mas também comprometeu com sucesso contas criadas pelas próprias organizações, possivelmente provenientes de violações anteriores em que as senhas nunca foram alteradas.”
As telecomunicações, o governo e a educação surgiram como os três principais setores impactados, com a maior exposição localizada na Índia, nos EUA, no México, na Colômbia e na Tailândia.
Diz-se que o ator da ameaça fez uma varredura em massa na Internet em busca de endpoints de login remoto da Fortinet e, em seguida, empregou uma ferramenta personalizada para pulverizar esses endpoints identificados com combinações conhecidas de login e senha, na tentativa de invadi-los.
O ataque totalmente automatizado é construído em torno de uma abordagem autossustentável em duas etapas -
O agente da ameaça tenta obter uma lista selecionada de senhas Fortinet vazadas em dispositivos na Internet.
Uma vez obtido o acesso, eles monitoram passivamente o tráfego de rede que passa pelos dispositivos para coletar credenciais adicionais, que são então usadas para comprometer mais dispositivos.
As credenciais são legítimas e válidas, e os invasores verificam cada uma delas antes de serem adicionadas a um banco de dados de logins funcionais confirmados.
“A escala desta violação afecta quase todos os sectores da economia global, não poupando nenhuma indústria”, disse Hudson Rock. “Os atores da ameaça construíram um banco de dados verificado de credenciais de trabalho para algumas das maiores empresas do planeta”.
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) descreveu o FortiBleed como uma campanha global que visa firewalls Fortinet voltados para a Internet e gateways VPN usando métodos como força bruta, ataque de dicionário e preenchimento de credenciais.
Suspeita-se que os agentes da ameaça provavelmente exploraram mecanismos de hash de credenciais mais antigos e a forma como as credenciais foram historicamente armazenadas nos arquivos de configuração do FortiGate para realizar o ataque em grande escala.
“A Fortinet introduziu hash de senha baseado em PBKDF2 para credenciais de administrador no FortiOS 7.2.11, 7.4.8 e 7.6.1, substituindo o mecanismo de armazenamento herdado baseado em SHA-256”, disse Arctic Wolf. “No entanto, ao atualizar de versões anteriores, as senhas de administrador existentes permanecem armazenadas como hashes SHA-256 até que o administrador correspondente faça login com êxito após a atualização.”
“Como resultado, muitas organizações provavelmente continuam a armazenar credenciais de administrador usando SHA-256 mais antigo com mecanismos de hashing Salt.”
Em uma declaração compartilhada com o The Hacker News, um porta-voz da Fortinet disse que “os dados envolvidos são provavelmente um novo compartilhamento de dados de incidentes anteriores, bem como força bruta de credenciais, e não relacionados a nenhum incidente ou aviso atual”, instando as organizações a seguirem as melhores práticas, incluindo a rotação regular de credenciais de segurança e a ativação da autenticação multifator (MFA).
A CISA delineou as seguintes recomendações para se defender contra a atividade -
Encerre todas as sessões administrativas e VPN SSL ativas, redefina todas as VPNs Fortinet e senhas administrativas, especialmente em sistemas voltados para a Internet, e aplique políticas de senhas fortes.
Garanta o uso do algoritmo Função 2 de derivação de chave baseada em senha (PBKDF2) para armazenar credenciais de administrador e remover hashes legados mais fracos.
Revise os logs de firewall, VPN, autenticação e controlador de domínio em busca de sinais de ações suspeitas, incluindo alterações não autorizadas na configuração.
Habilite MFA resistente a phishing em todos os gateways externos e interfaces administrativas.
Reduza a superfície de ataque e bloqueie o gerenciamento.
O incidente FortiBleed veio à tona na semana passada, depois que o pesquisador de segurança Volodymyr “Bob” Diachenko descobriu um servidor contendo o banco de dados de credenciais de login funcionais para milhares de firewalls e gateways VPN em 194 países. De acordo com o SOCRadar, o servidor também preparou as ferramentas e scripts de automação do invasor.
As descobertas demonstram mais uma vez como a reutilização de credenciais e a utilização de senhas inadequadas
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisa #alerta #clientes #da #fortinet #quando #fortibleed #atinge #86.644 #dispositivos #fortigate
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário