W połowe czerwca wykryto globalną kampanię przejmowania dostępu do urządzeń FortiGate, obejmującą dziesiątki tysięcy systemów i realne dane dostępowe administratorów. To wydarzenie pokazuje jasno, że ryzyko nie zawsze wynika z nowych podatności, ale czesto z niewłaściwie zarządzanego dostępu do systemów. W tym artykule znajdziesz materiał wideo, w którym pokazujemy, jak w praktyce zabezpieczyć FortiGate i ograniczyć ryzyko wynikające z nieautoryzowanego dostępu.
FortiBleed – co się wydarzyło?
W połowie czerwca wykryto szeroko zakrojoną kampanię przejmowania dostępu do urządzeń FortiGate. Skala była znacząca – od 30 000 do nawet 75 000 urządzeń w 194 krajach. Najbardziej niepokojące było jednak to, jakie dane znalazły się w obiegu. Mowa o rzeczywistych, działających loginach administratorów oraz dostępach VPN. To właśnie ten incydent zaczęto określać potocznie jako FortiBleed.
W przeciwieństwie do wielu głośnych przypadków z ostatnich lat, nie mieliśmy tutaj do czynienia z jedną nową, krytyczną podatnością. Był to raczej efekt kumulacji znanych problemów: słabych haseł, braku uwierzytelniania wieloskładnikowego oraz niedociągnięć w konfiguracji urządzeń wystawionych do internetu.
Dlaczego to zmienia podejście do bezpieczeństwa?
FortiBleed bardzo wyraźnie pokazuje zmianę perspektywy. W klasycznym podejściu do cyberbezpieczeństwa zadajemy sobie pytanie: „czy jesteśmy podatni?”. W tym przypadku dużo bardziej zasadne staje się pytanie: „czy ktoś już nie ma dostępu?”.
Jeżeli atakujący dysponują działającymi danymi uwierzytelniającymi, to nawet najlepiej załatana infrastruktura może pozostać narażona. Patchowanie przestaje być wystarczające, a kluczową rolę zaczyna odgrywać kontrola dostępu, jego ograniczanie oraz monitoring.
Najczęstsze przyczyny kompromitacji
Analiza tego typu incydentów wskazuje na powtarzające się schematy. W wielu środowiskach dostęp do FortiGate był możliwy z internetu, często bez dodatkowych zabezpieczeń. Brak MFA, stosowanie powtarzalnych lub słabych haseł oraz niewystarczająca kontrola dostępu do panelu administracyjnego znacząco zwiększały ryzyko. Do tego dochodzi kwestia „dziedziczonej konfiguracji”, czyli ustawień, które powstawały lata temu i nigdy nie zostały zweryfikowane w kontekście zmieniających się zagrożeń.
Jak podejść do zabezpieczenia FortiGate w praktyce?
W odpowiedzi na aktualne zagrożenia przygotowaliśmy materiał, w którym nasz inżynier Adam Hulin pokazuje, jak podejść do zabezpieczenia FortiGate w sposób praktyczny. Materiał skupia się na najczęstszych błędach konfiguracyjnych, które mogą prowadzić do kompromitacji. To podejście „od środka”, z perspektywy inżyniera, który na co dzień pracuje z tymi rozwiązaniami.
Co warto zweryfikować już teraz?
FortiBleed to dobry moment, aby zatrzymać się i spojrzeć na własną infrastrukturę z dystansu. Czy dostęp do urządzeń jest odpowiednio ograniczony? Czy stosowane są dodatkowe mechanizmy uwierzytelniania? Czy konfiguracja była kiedykolwiek audytowana pod kątem aktualnych zagrożeń? W praktyce cyberbezpieczeństwa bardzo często nie chodzi o pojedynczy błąd, ale o ich kombinację. To właśnie ona tworzy realne ryzyko.
Czy FortiGate w Twojej sieci jest poprawnie zabezpieczony?
Jeśli masz wątpliwości, czy Twoje środowisko jest odpowiednio zabezpieczone, warto je zweryfikować zanim zrobi to ktoś niepowołany. W ramach naszych usług oferujemy przegląd konfiguracji urządzeń FortiGate, który pozwala zidentyfikować potencjalne luki, błędy konfiguracyjne oraz obszary wymagające poprawy.
Jeśli widzisz, że ten temat może dotyczyć Twojej organizacji – skontaktuj się z nami, chętnie pomożemy uporządkować i zabezpieczyć środowisko.
O autorze: Adam Hulin
Inżynier bezpieczeństwa IT
W branży IT od ponad dekady. Specjalista ds. Backupu oraz Antywirusów. Człowiek od zadań specjalnych - zaczynał od świadczenia usług outsourcingowych, następnie sam wspierał 40 osobowy zespół w dwóch niezależnych firmach. Obecnie z pasją rozwija swoją widzę związana z takimi produktami jak WithSecure, Eset, Nakivo czy Xopero. Szczęśliwy ojciec dwóch córek. Z zamiłowania majsterkowicz.
