⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um vazamento de dados recém-descoberto chamado “FortiBleed” expôs o que parece ser uma coleção de credenciais VPN Fortinet e FortiGate para 73.932 URLs de firewall em organizações em todo o mundo.
Os dados expostos foram descobertos pela primeira vez pelo pesquisador de segurança Bob Diachenko, que afirma ter encontrado um servidor contendo o que pareciam ser credenciais válidas da Fortinet VPN, incluindo nomes de usuário, endereços de e-mail e senhas em texto simples.
De acordo com capturas de tela e informações compartilhadas por Diachenko, o banco de dados contém entradas para Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid e muitos outros.
“Campanha massiva de força bruta/exploração ativa Fortinet/FortiGate descoberta em ação”, postou Diachenko no LinkedIn.
"Milhares de instâncias de fornecedores importantes estão listadas em arquivos como este (veja a captura de tela). Somente este possui 21.634 nomes de domínio - da Chevron à própria Fortinet. Todos - com senhas potencialmente funcionais para os dispositivos FortiGate obtidos através de vários meios."
Os dados expostos também incluíam comentários listando o setor, a receita e o número de funcionários de cada organização, provavelmente para planejar ataques.
Credenciais da Fortinet encontradas em um servidor expostoFonte: Diachenko
Mais tarde, Diachenko compartilhou informações adicionais que afirmavam que a operação foi conduzida por um grupo de ameaças multioperadoras de língua russa que coletou credenciais para dispositivos VPN SSL FortiGate.
De acordo com a investigação de Diachenko, os invasores supostamente realizaram aproximadamente 1,16 bilhão de tentativas de credenciais contra 320.777 alvos FortiGate e mais 2,1 bilhões de tentativas contra 163.650 sistemas Microsoft SQL Server.
Ele afirmou ainda que os agentes da ameaça interceptaram hashes de autenticação SSL VPN, quebraram-nos usando um cluster de 45 GPU gerenciado por Hashtopolis e usaram as credenciais recuperadas para mover-se lateralmente para ambientes internos do Active Directory.
Diachenko disse ao BleepingComputer que obteve esses detalhes depois de analisar arquivos adicionais expostos inadvertidamente no mesmo servidor.
“Eles acidentalmente deixaram um diretório aberto com artefatos, cadeias de conexão, ferramentas, scripts e dados online. Análises obtidas através de seus cron jobs, históricos bash, logs, etc”, explicou Diachenko.
O investigador também afirmou que várias organizações no Japão, Taiwan, Vietname, Iraque e Turquia foram totalmente comprometidas, incluindo um empreiteiro turco da defesa da NATO, de quem foram alegadamente roubados documentos confidenciais.
Desde então, a empresa de inteligência de ameaças Hudson Rock publicou sua própria análise dos dados expostos após receber o conjunto de dados de Diachenko. A empresa descreveu a coleção como um dos maiores tesouros conhecidos de credenciais comprometidas relacionadas à Fortinet.
De acordo com Hudson Rock, o conjunto de dados contém 73.932 URLs de firewall exclusivos em 194 países e afeta 21.632 domínios exclusivos.
A empresa afirma que os invasores mantiveram registros detalhados de comprometimentos bem-sucedidos e montaram um banco de dados contendo credenciais verificadas para organizações em quase todos os principais setores da indústria.
Entre as organizações que Hudson Rock diz aparecer no conjunto de dados estão Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle e inúmeras agências governamentais e operadoras de infraestrutura crítica.
A empresa também divulgou estatísticas mostrando que o maior número de dispositivos afetados ocorreu na Índia, Estados Unidos, Taiwan, México, Turquia, Tailândia, Colômbia, Malásia, Chile e Emirados Árabes Unidos.
Os setores mais comuns para as empresas listadas são telecomunicações, serviços de TI, serviços financeiros, organizações governamentais, prestadores de serviços de saúde, instituições educacionais e manufatura.
Um aspecto estranho do vazamento é que muitas das credenciais expostas eram senhas longas e complexas que normalmente seriam consideradas difíceis de decifrar.
Acredita-se que tenha sido extraído das configurações do Fortinet
O pesquisador de segurança cibernética Kevin Beaumont revisou de forma independente partes dos dados expostos e disse ao BleepingComputer que algumas das credenciais são autênticas.
“Consegui confirmar a autenticidade de alguns logins e senhas de administrador – isso parece um verdadeiro lixo”, disse Beaumont.
Após uma análise mais aprofundada dos dados compartilhados por Hudson Rock, Beaumont publicou descobertas adicionais indicando que o conjunto de dados contém credenciais para cerca de 75.000 dispositivos Fortinet, a maioria dos quais permanece online.
De acordo com Beaumont, os dados parecem ter se originado de configurações exportadas da Fortinet porque contêm informações, incluindo endereços de e-mail, que normalmente só são acessíveis por meio de configurações.
Ele também disse que os endereços IP afetados são diferentes daqueles do vazamento do Belsen Group Fortinet de 2025, indicando ainda que esta é uma coleção maior e mais recente de dispositivos comprometidos.
Beaumont disse que verificou
Os dados expostos foram descobertos pela primeira vez pelo pesquisador de segurança Bob Diachenko, que afirma ter encontrado um servidor contendo o que pareciam ser credenciais válidas da Fortinet VPN, incluindo nomes de usuário, endereços de e-mail e senhas em texto simples.
De acordo com capturas de tela e informações compartilhadas por Diachenko, o banco de dados contém entradas para Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid e muitos outros.
“Campanha massiva de força bruta/exploração ativa Fortinet/FortiGate descoberta em ação”, postou Diachenko no LinkedIn.
"Milhares de instâncias de fornecedores importantes estão listadas em arquivos como este (veja a captura de tela). Somente este possui 21.634 nomes de domínio - da Chevron à própria Fortinet. Todos - com senhas potencialmente funcionais para os dispositivos FortiGate obtidos através de vários meios."
Os dados expostos também incluíam comentários listando o setor, a receita e o número de funcionários de cada organização, provavelmente para planejar ataques.
Credenciais da Fortinet encontradas em um servidor expostoFonte: Diachenko
Mais tarde, Diachenko compartilhou informações adicionais que afirmavam que a operação foi conduzida por um grupo de ameaças multioperadoras de língua russa que coletou credenciais para dispositivos VPN SSL FortiGate.
De acordo com a investigação de Diachenko, os invasores supostamente realizaram aproximadamente 1,16 bilhão de tentativas de credenciais contra 320.777 alvos FortiGate e mais 2,1 bilhões de tentativas contra 163.650 sistemas Microsoft SQL Server.
Ele afirmou ainda que os agentes da ameaça interceptaram hashes de autenticação SSL VPN, quebraram-nos usando um cluster de 45 GPU gerenciado por Hashtopolis e usaram as credenciais recuperadas para mover-se lateralmente para ambientes internos do Active Directory.
Diachenko disse ao BleepingComputer que obteve esses detalhes depois de analisar arquivos adicionais expostos inadvertidamente no mesmo servidor.
“Eles acidentalmente deixaram um diretório aberto com artefatos, cadeias de conexão, ferramentas, scripts e dados online. Análises obtidas através de seus cron jobs, históricos bash, logs, etc”, explicou Diachenko.
O investigador também afirmou que várias organizações no Japão, Taiwan, Vietname, Iraque e Turquia foram totalmente comprometidas, incluindo um empreiteiro turco da defesa da NATO, de quem foram alegadamente roubados documentos confidenciais.
Desde então, a empresa de inteligência de ameaças Hudson Rock publicou sua própria análise dos dados expostos após receber o conjunto de dados de Diachenko. A empresa descreveu a coleção como um dos maiores tesouros conhecidos de credenciais comprometidas relacionadas à Fortinet.
De acordo com Hudson Rock, o conjunto de dados contém 73.932 URLs de firewall exclusivos em 194 países e afeta 21.632 domínios exclusivos.
A empresa afirma que os invasores mantiveram registros detalhados de comprometimentos bem-sucedidos e montaram um banco de dados contendo credenciais verificadas para organizações em quase todos os principais setores da indústria.
Entre as organizações que Hudson Rock diz aparecer no conjunto de dados estão Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle e inúmeras agências governamentais e operadoras de infraestrutura crítica.
A empresa também divulgou estatísticas mostrando que o maior número de dispositivos afetados ocorreu na Índia, Estados Unidos, Taiwan, México, Turquia, Tailândia, Colômbia, Malásia, Chile e Emirados Árabes Unidos.
Os setores mais comuns para as empresas listadas são telecomunicações, serviços de TI, serviços financeiros, organizações governamentais, prestadores de serviços de saúde, instituições educacionais e manufatura.
Um aspecto estranho do vazamento é que muitas das credenciais expostas eram senhas longas e complexas que normalmente seriam consideradas difíceis de decifrar.
Acredita-se que tenha sido extraído das configurações do Fortinet
O pesquisador de segurança cibernética Kevin Beaumont revisou de forma independente partes dos dados expostos e disse ao BleepingComputer que algumas das credenciais são autênticas.
“Consegui confirmar a autenticidade de alguns logins e senhas de administrador – isso parece um verdadeiro lixo”, disse Beaumont.
Após uma análise mais aprofundada dos dados compartilhados por Hudson Rock, Beaumont publicou descobertas adicionais indicando que o conjunto de dados contém credenciais para cerca de 75.000 dispositivos Fortinet, a maioria dos quais permanece online.
De acordo com Beaumont, os dados parecem ter se originado de configurações exportadas da Fortinet porque contêm informações, incluindo endereços de e-mail, que normalmente só são acessíveis por meio de configurações.
Ele também disse que os endereços IP afetados são diferentes daqueles do vazamento do Belsen Group Fortinet de 2025, indicando ainda que esta é uma coleção maior e mais recente de dispositivos comprometidos.
Beaumont disse que verificou
#samirnews #samir #news #boletimtec #o #vazamento #do #fortibleed #expõe #credenciais #da #fortinet #vpn #para #73.000 #dispositivos.
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário