Pesquisadores descobriram um comprometimento em larga escala de firewalls da Fortinet que expôs credenciais em texto simples de quase 74.000 dispositivos em 194 países. A violação afeta organizações como Oracle, Chevron, Lenovo, FedEx e a própria Fortinet, além de uma empresa contratada de defesa da OTAN.
Bob Diachenko, um pesquisador de segurança, descobriu os dados após acessar o servidor de comando e controle dos atacantes. As informações expostas incluem credenciais de dispositivos em setores como serviços de TI, telecomunicações e serviços financeiros. Outras entidades afetadas listadas no banco de dados incluem Foxconn, Samsung, Comcast, Siemens, PwC e Accenture.
Os atacantes, descritos como falantes de russo e motivados por crime, utilizaram varredura em massa e um binário personalizado para atingir pontos de login remoto do FortiGate. Em seguida, empregaram um cluster de 45 GPUs para quebrar hashes de autenticação, permitindo o movimento lateral para sistemas como o Microsoft Active Directory. Kevin Beaumont confirmou que as credenciais permanecem válidas e que a maioria dos dispositivos comprometidos continuava online até a manhã de quarta-feira.
Pesquisadores da Hudson Rock observaram que documentos de defesa confidenciais foram exfiltrados de um contratado turco da OTAN. Os dispositivos comprometidos representam cerca de metade de todos os firewalls da Fortinet expostos à internet. Diachenko, Beaumont e a Hudson Rock pediram que as organizações afetadas verifiquem suas redes imediatamente.