Campanha FortiBleed avança com novo vetor de ataque
A campanha de exploração conhecida como FortiBleed, que visa firewalls FortiGate, evoluiu para uma operação mais sofisticada de roubo de credenciais. Segundo informações divulgadas pela Dark Reading, os atacantes desenvolveram um sniffer baseado em Golang para identificar e extrair credenciais de redes corporativas protegidas por esses dispositivos de segurança.
O alcance da campanha é significativo, com mais de 430.000 firewalls FortiGate afetados globalmente. O impacto direto é a exposição de aproximadamente 110 milhões de credenciais, o que representa um risco massivo para a segurança de redes corporativas e governamentais em todo o mundo.
Mecanismo técnico da exploração
O uso de Golang para o desenvolvimento do sniffer indica uma escolha estratégica dos atacantes, visando performance e facilidade de compilação para múltiplas plataformas. O malware é projetado para se infiltrar em redes onde os firewalls FortiGate estão implantados, monitorando o tráfego de rede em busca de credenciais em texto claro ou hashes que possam ser explorados.
Essa técnica permite que os atacantes coletem dados sensíveis sem necessariamente comprometer a integridade do firewall em si, tornando a detecção mais difícil para equipes de SOC que focam em assinaturas de malware tradicionais.
Alcance e impacto dos dados
A escala da campanha é alarmante. Com 430.000 firewalls comprometidos, a superfície de ataque é vasta. A extração de 110 milhões de credenciais sugere que os atacantes estão focados em credenciais de administrador, usuários de rede e possivelmente credenciais de serviços, o que pode facilitar movimentos laterais dentro das redes afetadas.
Para CISOs e equipes de segurança, isso significa que a prioridade deve ser a revisão de logs de autenticação e a implementação de monitoramento de tráfego de rede para identificar padrões anômalos que indiquem a presença do sniffer.
Recomendações para CISOs
As organizações que utilizam firewalls FortiGate devem considerar as seguintes medidas imediatas:
- Atualização de Firmware: Verificar se todas as instâncias de FortiGate estão com a versão mais recente de firmware, aplicando patches de segurança disponíveis.
- Monitoramento de Rede: Implementar soluções de detecção de intrusão (IDS) focadas em tráfego de rede para identificar o comportamento do sniffer Golang.
- Rotação de Credenciais: Considerar a rotação de credenciais de administrador e de serviços em redes onde o risco é alto.
- Segmentação de Rede: Revisar a segmentação de rede para limitar o impacto de um possível comprometimento.
Conclusão
A campanha FortiBleed demonstra a persistência e a evolução das ameaças cibernéticas. A capacidade dos atacantes de adaptar suas ferramentas para explorar vulnerabilidades em dispositivos de segurança críticos exige uma postura proativa e vigilante por parte das equipes de segurança da informação.