Forskare har upptäckt ett storskaligt intrång i Fortinet-brandväggar som exponerat lösenord i klartext för närmare 74 000 enheter i 194 länder. Intrånget påverkar organisationer som Oracle, Chevron, Lenovo, FedEx och Fortinet själva, samt en försvarsentreprenör åt Nato.
Säkerhetsforskaren Bob Diachenko upptäckte datan efter att ha fått tillgång till angriparnas server för kontroll och styrning. Den exponerade informationen omfattar inloggningsuppgifter till enheter inom branscher som IT-tjänster, telekommunikation och finansiella tjänster. Andra berörda enheter som listas i databasen inkluderar Foxconn, Samsung, Comcast, Siemens, PwC och Accenture.
Angriparna, som beskrivs som ryskspråkiga och drivna av kriminella motiv, använde masskanning och en anpassad binärfil för att rikta in sig på FortiGate-slutpunkter för fjärrinloggning. De använde sedan ett kluster med 45 GPU:er för att knäcka autentiseringshashar, vilket möjliggjorde lateral förflyttning in i system som Microsoft Active Directory. Kevin Beaumont bekräftade att inloggningsuppgifterna fortfarande är giltiga och att de flesta komprometterade enheter var online under onsdagsmorgonen.
Forskare från Hudson Rock noterade att hemligstämplade försvarsdokument har stulits från en turkisk Nato-entreprenör. De komprometterade enheterna motsvarar ungefär hälften av alla internetexponerade Fortinet-brandväggar. Diachenko, Beaumont och Hudson Rock uppmanar berörda organisationer att omedelbart kontrollera sina nätverk.