Hackeři prolomili desítky tisíc firewallů. Stačila jim stará hesla

Dvě bezpečnostní firmy popsaly rozsáhlou útočnou kampaň, při které se útočníci dostali do desítek tisíc firewallů a VPN od společnosti Fortinet. Zařízení používají velké firmy po celém světě, mezi oběťmi jsou podle analytiků jména jako Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens nebo PwC.

Zajímavé je, jak jednoduše to šlo. Útočníci nezneužili žádnou neznámou chybu. Jen automaticky proskenovali internet, našli firewally Fortinet vystavené ven a zkusili na ně seznamy hesel, která už dávno unikla. U spousty zařízení to vyšlo, protože firmy hesla nikdy nezměnily.

Jakmile se útočník dostal dovnitř, použil zařízení jako odposlech. Sledoval provoz, sbíral další hesla, která přes něj tekla, a ta pak hned hodil zpátky do skeneru a prolomil další zařízení. Systém se sám krmil. Firma Hudson Rock napočítala přes 73 tisíc napadených adres, SOCRadar mluví o víc než 30 tisících zařízení. Skupina za útokem podle obou firem mluví rusky.

Fortinet uvádí, že nejde o novou bezpečnostní díru, ale o recyklaci hesel z dřívějších úniků a jejich hádání hrubou silou.

To je možná ta nepříjemnější část. Nepadla žádná chytrá technika, stačila zařízení vystavená na internet se starým heslem, které někde dávno uniklo. Kdo má firemní firewall nebo VPN přístupný zvenku, udělá dobře, když si ověří, že na něm neběží heslo z doby, kdy ho technik nastavoval.