FortiBleed Fortinet tunnusvuoto on noussut ajankohtaiseksi riskiksi yrityksille, joilla on internetiin näkyviä FortiGate-palomuurilaitteita, SSL VPN -yhteyksiä tai julkisesti saavutettavia hallintaliittymiä. Kyse ei ole vain yhdestä haavoittuvuudesta, vaan laajemmasta ilmiöstä, jossa hyökkääjät hyödyntävät vaarantuneita tunnuksia, heikkoa tunnushygieniaa ja etäkäytön puutteellisia suojauksia.
Yhdysvaltain kyberturvaviranomainen CISA on kertonut olevansa tietoinen globaaleista raporteista, joiden mukaan haitalliset toimijat ovat kohdistaneet hyökkäyksiä internetiin näkyviin Fortinet-laitteisiin vaarantuneiden tunnusten avulla. CISA:n mukaan FortiBleed-nimellä kuvattu toiminta liittyy vuotaneisiin tunnuksiin noin 74 000 Fortinet-laitteessa, mukaan lukien palomuurit ja VPN-yhdyskäytävät.
Mitä FortiBleedissä on tapahtunut?
Useiden kyberturvalähteiden mukaan FortiBleed-kampanja on kohdistunut erityisesti FortiGate-laitteisiin ja Fortinetin SSL VPN -ympäristöihin. Raporteissa on kuvattu laajaa tunnusten keruuta, tunnusten kokeilua eri palveluihin ja joissakin tapauksissa pääsyä sisäverkkoihin.
Osa tutkimuslähteistä väittää, että kampanjassa olisi kartoitettu yli 430 000 FortiGate-palomuuria ja kerätty yli 110 miljoonaa tunnusta. Nämä luvut ovat tutkimuslähteiden arvioita, eivät viranomaisen varmistamia kokonaismääriä. Silti varmistetut havainnot riittävät tekemään asiasta merkittävän myös suomalaisille pk-yrityksille.
Hyökkäysten kerrotaan hyödyntäneen useita menetelmiä. Näihin kuuluvat aiemmista tietovuodoista ja infostealer-haittaohjelmista saadut tunnukset, salasanojen uudelleenkäyttö, credential stuffing, brute force -yritykset sekä SSL VPN -todennustietojen sieppaus ja myöhempi murtaminen. Tämä tekee tilanteesta hankalan, koska riski ei riipu pelkästään siitä, onko laite tänään päivitetty.
Miksi Fortinetin reunalaitteet ovat yrityksille niin kriittisiä?
Palomuuri ja VPN-yhdyskäytävä ovat usein yrityksen sisäverkon portti ulkomaailmaan. Jos hyökkääjä saa toimivat VPN- tai ylläpitotunnukset, hän voi päästä lähemmäs samoja järjestelmiä, joita henkilöstö, ylläpitäjät ja kumppanit käyttävät päivittäin.
Tämä tekee Fortinet SSL VPN -tietoturvariskistä käytännön jatkuvuuskysymyksen. Vaarantunut tunnus voi johtaa Active Directory -ympäristön kartoittamiseen, uusien tunnusten keräämiseen, RDP- tai SMB-yhteyksien käyttöön, tiedostopalvelimien tutkimiseen ja pahimmillaan kiristyshaittaohjelman valmisteluun. Jo yksittäinen ylläpitotunnus voi riittää avaamaan reitin laajempaan tietomurtoon.
Yrityksen kannattaa arvioida vaikutukset omaan ympäristöön ennen kiireisiä muutoksia. Suomi Solutions auttaa tässä vaiheessa käytännön tarkistuksissa, kuten internetiin näkyvien Fortinet-palveluiden tunnistamisessa, hallintaliittymien näkyvyyden rajaamisessa ja etäkäytön suojaustason arvioinnissa. Tavoitteena ei ole tehdä muutoksia sokkona, vaan varmistaa ensin, missä riski oikeasti sijaitsee.
Pelkkä salasananvaihto ei aina riitä
FortiBleed-keskustelussa tärkein opetus on tunnusten elinkaari. Jos tunnus on vuotanut aiemmin, sitä on voitu kokeilla myöhemmin myös päivitettyyn ja teknisesti korjattuun ympäristöön. Jos aktiivisia istuntoja ei katkaista, hyökkääjä voi jatkaa pääsyä myös salasananvaihdon jälkeen. Jos lokeja ei tarkasteta, sivuttaisliike voi jäädä huomaamatta.
CISA kehottaa Fortinet-asiakkaita muun muassa katkaisemaan aktiiviset SSL VPN- ja hallintaistunnot, vaihtamaan VPN- ja ylläpitotunnukset, tarkistamaan lokit, ottamaan käyttöön tietojenkalastelua kestävän monivaiheisen tunnistautumisen ja poistamaan hallintaliittymät julkisesta internetistä. Lisäksi CISA viittaa Fortinetin ohjeistukseen PBKDF2-algoritmin käyttöönotosta ylläpitotunnusten hajautuksessa niissä FortiOS-versioissa, joissa tämä on tuettu.
Käytännössä tämä tarkoittaa, että yrityksen kannattaa käsitellä tilannetta mahdollisena tunnuskompromissina, ei vain laitepäivityksenä. Suomi Solutions voi auttaa lokien läpikäynnissä, poikkeavien kirjautumisten tunnistamisessa ja siinä, että VPN-, palomuuri- ja Microsoft 365 -ympäristöjen käyttöoikeudet muodostavat yhtenäisen kokonaisuuden eivätkä irrallisia suojaussaarekkeita.
Miten FortiBleed voi näkyä yrityksen arjessa?
Monessa pk-yrityksessä FortiGate tai muu reunalaite toimii taustalla niin kauan, ettei siihen kiinnitetä huomiota ennen häiriötä. FortiBleed-tyyppinen riski voi kuitenkin näkyä hiljaisina merkkeinä ennen varsinaista katkoa. Esimerkiksi VPN-lokeissa voi näkyä kirjautumisia poikkeavista maista, ylläpitotileillä voi olla tavallista enemmän epäonnistuneita kirjautumisyrityksiä tai sisäverkossa voi tapahtua kyselyitä, joita normaali käyttäjä ei tee.
Häiriö voi alkaa myös liiketoiminnan puolelta. Etäkäyttöä joudutaan rajoittamaan, käyttäjät pakotetaan vaihtamaan salasanoja, järjestelmiä tutkitaan työajan ulkopuolella ja kumppaniyhteyksiä tarkastetaan uudelleen. Jos tilanteeseen ei ole valmiita toimintamalleja, kiire voi johtaa virheisiin.
Erityisen tärkeä näkökulma on toimitusketju. Jos yrityksen oma ympäristö on kunnossa, kumppanin, asiakkaan tai palveluntarjoajan vaarantunut VPN-yhteys voi silti aiheuttaa epäsuoran riskin. B2B-yrityksissä etäyhteydet, ylläpitokanavat ja integraatiot kannattaa käsitellä osana kokonaisarkkitehtuuria, ei vain yksittäisen laitteen asetuksina.
Mitä yrityksen kannattaa tehdä nyt?
- Tunnista Fortinet-laitteet ja SSL VPN -palvelut. Selvitä kaikki FortiGate- ja Fortinet-ympäristöt, myös kumppanien ylläpitämät ratkaisut ja vanhat internetiin näkyvät instanssit.
- Katkaise aktiiviset VPN- ja ylläpitoistunnot. Pakota Fortinet VPN- ja ylläpitotunnusten salasananvaihto erityisesti internetiin näkyvissä palveluissa.
- Ota käyttöön tietojenkalastelua kestävä MFA. Varmista, että vahva monivaiheinen tunnistautuminen on pakollinen kaikissa ulkoisissa etäkäyttö- ja hallintapalveluissa.
- Poista hallinta julkisesta internetistä. Rajaa Fortinet-laitteiden hallinta luotettuihin sisäverkkoihin, hallintaverkkoon tai muuhun valvottuun yhteystapaan.
- Tarkista FortiOS-versiot ja Fortinetin asetukset. Ota käyttöön PBKDF2-pohjainen ylläpitotunnusten hajautus siellä, missä se on tuettu, ja poista heikot vanhat hajautteet valmistajan ohjeiden mukaisesti.
- Käy lokit läpi laajasti. Tarkista palomuuri-, VPN-, todennus-, järjestelmä- ja domain controller -lokit poikkeavien kirjautumisten, uusien tilien, konfiguraatiomuutosten ja sivuttaisliikkeen varalta.
- Estä vuotaneiden salasanojen käyttö. Tarkista, onko tunnuksia esiintynyt aiemmissa tietovuodoissa tai infostealer-havainnoissa, ja ota käyttöön käytäntö, joka estää tunnettujen vuotosalasanojen käytön.
- Tarkista ylläpitotilit ja oikeudet. Poista tarpeettomat tunnukset, pienennä oikeustasoja ja vahvista vähimpien oikeuksien periaate Fortinet- ja Active Directory -ympäristöissä.
- Valmistaudu mahdolliseen jatkohyökkäykseen. Varmista varmuuskopiot, palautumissuunnitelmat ja kriisiviestintä siltä varalta, että tunnusvuoto johtaa laajempaan tietomurtoon.
FortiBleed muistuttaa, että reunalaitteiden turvallisuus ei ole vain palomuurin asetusrivi, vaan osa liiketoiminnan jatkuvuutta, sopimusvastuita ja luottamusta. Käytännön varautuminen alkaa näkyvyydestä, tunnusten hallinnasta ja siitä, että muutokset dokumentoidaan hallitusti. Jos oma Fortinet-, VPN-, Linux-, Microsoft 365- tai palvelinympäristö kaipaa riippumatonta tarkistusta, Suomi Solutions auttaa muuttamaan havainnot konkreettisiksi toimenpiteiksi ilman turhaa monimutkaisuutta.
