W ostatnich tygodniach obserwujemy wzmożone ataki na urządzenia FortiGate, które prowadzą do pełnej kompromitacji infrastruktury IT. W wielu przypadkach atakujący uzyskują dostęp do sieci, szyfrują krytyczne zasoby, a nawet przejmują kontrolę nad całymi systemami. Jednym z najczęstszych scenariuszy jest wykorzystanie podatności umożliwiających przejęcie FortiGate, co skutkuje utratą dostępu do sieci, a nawet zaszyfrowaniem kopii zapasowych. Warto wiedzieć, jak się przed tym chronić oraz jakie kroki podjąć w przypadku ataku.
Jak rozpoznać, że urządzenie zostało skompromitowane?
- Pojawienie się nieznanych administratorów
W sekcji System > Administrators mogą znajdować się konta administratorów, których dział IT nie tworzył. Podobnie w użytkownikach VPN – mogą pojawić się loginy, które nie zostały dodane przez uprawnione osoby. - Wzmożona aktywność logowania
Logi mogą wskazywać dziesiątki tysięcy prób logowania. Jeśli część z nich jest oznaczona jako „successful”, to znak, że atakujący uzyskali dostęp. - Utrata dostępu do urządzenia - najgorszy ze scenariuszy
Jeśli administrator nagle traci możliwość logowania się do FortiGate, istnieje wysokie prawdopodobieństwo, że urządzenie zostało przejęte.
Jak zabezpieczyć FortiGate przed atakiem?
- Nie wystawiaj konsoli zarządzającej na publiczny adres IP
W panelu zarządzania przejdź do Network > Interfaces, wybierz interfejs WAN i odznacz wszystkie checkboxy w sekcji Administrative Access. Udostępnianie panelu administracyjnego w sieci publicznej to jedno z największych zagrożeń dla bezpieczeństwa urządzenia. - Regularnie aktualizuj urządzenia
Aktualizacje eliminują znane podatności i poprawiają odporność systemu. Obecnie zalecana wersja to 7.2.11. Unikaj wersji 7.4 i 7.6, ponieważ nadal mogą być niestabilne. - Rozważ wyłączenie SSL-VPN
Jeśli korzystasz z SSL-VPN, warto przejść na IPsec i całkowicie wyłączyć SSL-VPN. Jeśli jest to niemożliwe, ogranicz dostęp do SSL-VPN tylko do adresów IP z Polski, korzystając z konfiguracji local-in-policy. W razie potrzeby służymy pomocą w konfiguracji.
Jakie kroki podjąć po ataku?
- Odłącz urządzenie od sieci – aby uniemożliwić dalszą aktywność atakujących, ogranicz dostęp do urządzenia wyłącznie do połączenia lokalnego.
- Odseparuj sieć lokalną od internetu – na czas analizy incydentu warto tymczasowo odłączyć całą infrastrukturę od internetu.
- Skonfiguruj tymczasowe urządzenie dostępowe – jeśli konieczne jest szybkie przywrócenie dostępu do sieci, wdrożenie zastępczego urządzenia (bez podłączania serwerów i kluczowych systemów) jest kluczowe. Warto także skorzystać z filtrowania ruchu DNS, np. przez Cloudflare.
- Zgłoś incydent do Fortinet – koniecznie otwórz ticket na support.fortinet.com, aby producent mógł zweryfikować, czy urządzenie nie zostało zainfekowane złośliwym kodem. W niektórych przypadkach nawet reset urządzenia do ustawień fabrycznych nie eliminuje zagrożenia, ponieważ malware może przetrwać w systemie i ponownie otworzyć furtkę atakującym.
Ataki na FortiGate mogą prowadzić do poważnych konsekwencji, w tym utraty kontroli nad siecią i zaszyfrowania kluczowych danych. Aby zminimalizować ryzyko, warto wdrożyć podstawowe zasady bezpieczeństwa: ograniczenie dostępu administracyjnego, regularne aktualizacje oraz segmentację ruchu. Jeśli masz wątpliwości co do bezpieczeństwa swojego urządzenia, skontaktuj się z nami – pomożemy przeanalizować sytuację i wdrożyć odpowiednie środki ochrony.
Więcej o zagrożeniu przeczytasz tutaj:
Ataki na FortiGate – szczegółowy opis przypadku
O autorze: Adam Hulin
Inżynier bezpieczeństwa IT
W branży IT od ponad dekady. Specjalista ds. Backupu oraz Antywirusów. Człowiek od zadań specjalnych - zaczynał od świadczenia usług outsourcingowych, następnie sam wspierał 40 osobowy zespół w dwóch niezależnych firmach. Obecnie z pasją rozwija swoją widzę związana z takimi produktami jak WithSecure, Eset, Nakivo czy Xopero. Szczęśliwy ojciec dwóch córek. Z zamiłowania majsterkowicz, w social mediach znajdziecie go jako Inżynier Złota Rączka.
