Sintesi

Questo CSIRT ha recentemente rilevato la diffusione di un dataset riconducibile a una campagna denominata “ FortiBleed ”, contenente informazioni associate a dispositivi Fortinet/FortiGate esposti su Internet e utilizzati per l’accesso remoto tramite SSL-VPN.

Tipologia

Information Disclosure

Descrizione e potenziali impatti

La campagna denominata “FortiBleed” evidenzia un rischio concreto per le organizzazioni che espongono su Internet apparati Fortinet/FortiGate, in particolare laddove risultino pubblicamente raggiungibili servizi SSL-VPN o interfacce amministrative.

Il threat actor avrebbe effettuato attività di ricognizione su larga scala finalizzate all’individuazione di istanze Fortinet esposte sulla rete pubblica, con particolare attenzione ai dispositivi per i quali l’interfaccia di management FortiGate risulta direttamente accessibile da Internet.

Da un’analisi eseguita sui file rilasciati dall’attore malevolo è emerso che sono presenti evidenze riconducibili anche ad asset e organizzazioni italiane. Inoltre, parte delle informazioni presenti nei file potrebbe derivare da export di configurazione degli apparati. Tale scenario risulta particolarmente critico, in quanto i file di configurazione possono contenere informazioni sensibili relative a utenze locali, gruppi di accesso, configurazioni SSL-VPN, policy firewall, oggetti di rete, indirizzamenti interni, server di autenticazione e ulteriori parametri utili alla compromissione dell’infrastruttura.

La disponibilità di credenziali SSL-VPN potenzialmente valide potrebbe consentire a un attaccante di autenticarsi ai servizi VPN esposti e ottenere un accesso iniziale alla rete interna dell’organizzazione. Un accesso effettuato tramite canali apparentemente legittimi può ridurre la capacità di rilevamento da parte dei sistemi di sicurezza perimetrali e favorire successive attività ostili, tra cui movimento laterale, modifica delle configurazioni, creazione di utenze non autorizzate, esfiltrazione di dati o distribuzione di malware.

Azioni di mitigazione

Gli utenti e le organizzazioni possono ridurre il rischio di compromissione valutando l’implementazione delle seguenti misure preventive:

• aggiornare tempestivamente gli apparati Fortinet/FortiGate esposti su Internet alle versioni più recenti supportate dal vendor;
• verificare l’eventuale esposizione pubblica di servizi SSL-VPN, interfacce amministrative e pannelli di gestione FortiGate;
• rimuovere l’esposizione diretta su Internet delle interfacce amministrative, consentendo l’accesso esclusivamente da reti interne, indirizzi IP autorizzati, jump host o canali VPN dedicati;
• ruotare le credenziali amministrative e SSL-VPN associate agli apparati potenzialmente coinvolti, verificando l’eventuale riutilizzo delle stesse su altri sistemi aziendali;
• abilitare l’autenticazione multifattore per tutti gli accessi VPN e amministrativi, con particolare attenzione agli account privilegiati;
• disabilitare utenze locali, legacy, condivise o non più necessarie;
• verificare la presenza di modifiche non autorizzate a configurazioni VPN, policy firewall, route statiche, oggetti di rete, gruppi di accesso e server di autenticazione;
• analizzare i log SSL-VPN e amministrativi per individuare accessi anomali, login da indirizzi IP o aree geografiche non coerenti, tentativi di autenticazione falliti ed eventuali esportazioni di configurazione non autorizzate;
• integrare i log Fortinet/FortiGate nei sistemi di monitoraggio e SIEM aziendali, configurando alert su accessi VPN sospetti, modifiche amministrative ed eventi di autenticazione anomali;
• valutare la progressiva rimozione dell’accesso remoto basato su SSL-VPN e la migrazione verso IPsec VPN, anche in considerazione dell’evoluzione introdotta da Fortinet a partire da FortiOS 7.6.3.

In caso di riscontro positivo, si raccomanda di avviare tempestivamente attività di incident response, includendo acquisizione e conservazione dei log, rotazione completa delle credenziali, revisione delle configurazioni, verifica degli accessi VPN e analisi di eventuali movimenti laterali successivi all’autenticazione remota.

In assenza di indicatori di compromissione puntuali e pubblicamente verificabili, si raccomanda di non basare le attività di rilevamento esclusivamente su IoC, ma di procedere con attività di exposure management, hardening degli apparati, analisi dei log VPN/amministrativi e hunting comportamentale.