Снова периметр: массовая эксплуатация VPN-шлюзов, кто как тушит?

[lorenzinoarq]

Со вчерашнего вечера на двух разных площадках вижу всплеск подозрительной активности на внешние VPN-шлюзы Fortinet. Характерные POST-запросы на админский веб-портал, попытки создать левые учётки и сразу sslvpn-сессии с азиатских и западных хостингов. Версии у клиентов FortiOS 7.4.4 и 7.2.x, патчи последние не накатаны (сюрприз). Пока закрыл внешний доступ к management-интерфейсу и режу по гео. У кого ещё горит, есть подтверждённые IOC?

[Vthors22]

Подтверждаю, картина та же. Первым делом смотри логи на предмет логинов под учётками, которых в твоём каталоге нет, и сессий с источников, которые раньше никогда не светились. Полезно выгрузить список локальных админов и сверить с эталоном. У нас нашлась одна левая учётка с правами, созданная в 3 ночи по МСК — классика. Снёс, ротировал все пароли и сертификаты, перевыпустил токены.

[coder_anton]

@lorenzinoarq, Тушим по схеме: 1) немедленно отрубить внешний доступ к веб-морде управления, оставить VPN только для воркеров через жёсткий ACL; 2) обновиться на актуальную ветку, у Fortinet вышел фикс, гоните минимум на 7.4.7; 3) принудительно завершить все активные sslvpn-сессии и форснуть переавторизацию; 4) ротация всех секретов, потому что если влезли — утащили конфиг с хэшами. И да, не верьте, что 'обновился и всё чисто' — если шлюз торчал непропатченным неделями, считайте его скомпрометированным, пока не доказали обратное.

[redisguru]

Добавлю про ретроспективу. Эти ребята любят жить тихо: создают учётку, ставят бэкдор-конфиг и уходят в спящий режим на недели. Так что мало пропатчить, надо отмотать логи минимум на месяц назад и искать аномальные сессии и изменения конфигурации. Мы выгрузили дифф текущего конфига против бэкапа месячной давности — нашлись подозрительные правила маршрутизации, которые никто из админов не делал.

[nilcetinkaya]

Я уже устал от этих периметровых железок если честно. Каждые пару месяцев новая критическая дыра в очередном шлюзе, и каждый раз это unauthenticated RCE или обход аутентификации. Мы в этом году начали целенаправленно убирать классические VPN-концентраторы и переезжать на ZTNA-модель с проверкой устройства и пользователя на каждый запрос. Дороже и муторно внедрять, но périметр как единая точка отказа меня уже доконал.

[icu2]

Для тех, кто в СНГ-сегменте: профильный центр реагирования вчера выпустил бюллетень по этой волне, рекомендации совпадают — закрыть management снаружи, обновиться, искать IOC. Если вы оператор критической инфраструктуры, инцидент с компрометацией периметра придётся ещё и регистрировать по регламенту, не забывайте про сроки уведомления. Лучше потратить вечер на проверку, чем потом объяснять регулятору, почему шифровальщик зашёл через ваш же VPN.