Investigadores han descubierto un compromiso a gran escala de los cortafuegos de Fortinet que expuso credenciales en texto plano de casi 74.000 dispositivos en 194 países. La brecha afecta a organizaciones como Oracle, Chevron, Lenovo, FedEx y la propia Fortinet, además de a un contratista de defensa de la OTAN.
Bob Diachenko, un investigador de seguridad, descubrió los datos tras acceder al servidor de mando y control de los atacantes. La información expuesta incluye credenciales de dispositivos en sectores como los servicios informáticos, las telecomunicaciones y los servicios financieros. Otras entidades afectadas que figuran en la base de datos son Foxconn, Samsung, Comcast, Siemens, PwC y Accenture.
Los atacantes, descritos como rusoparlantes y con motivaciones criminales, utilizaron escaneos masivos y un binario personalizado para atacar los puntos de acceso remoto de FortiGate. Posteriormente, emplearon un clúster de 45 GPU para descifrar los hashes de autenticación, lo que permitió un movimiento lateral hacia sistemas como Microsoft Active Directory. Kevin Beaumont confirmó que las credenciales siguen siendo válidas y que la mayoría de los dispositivos comprometidos permanecían en línea hasta la mañana del miércoles.
Investigadores de Hudson Rock señalaron que se exfiltraron documentos de defensa clasificados de un contratista turco de la OTAN. Los dispositivos comprometidos representan aproximadamente la mitad de todos los cortafuegos de Fortinet expuestos a Internet. Diachenko, Beaumont y Hudson Rock instaron a las organizaciones afectadas a revisar sus redes de inmediato.