Ferreira Manuel 
405
As redes privadas virtuais (VPNs) da Fortinet estão a ser alvo de uma vaga de ataques generalizados de força desde o início deste mês. A campanha de ataques está dividida em dois eixos, o primeiro é direcionado a VPNs SSL, já o segundo, mais recente, ao FortiManager.
O que está em causa?
As VPNs SSL da Fortinet são soluções que oferecem comunicação segura e criptografada entre dispositivos e redes, permitindo que utilizadores acessem recursos corporativos de forma remota, utilizando protocolos SSL/TLS por meio de navegadores web ou clientes VPN. Se comprometidos, elas podem servir de porta de entrada para ataques de larga escala contra organizações.
Por seu lado, o FortiManager é uma solução de gestão centralizada da Fortinet para redes de segurança. Ela simplifica a gestão de firewalls, gateways e políticas de segurança em ambientes complexos, incluindo redes híbridas. Quando comprometido, o atacante pode obter controlo administrativo sobre toda a infra-estrutura de segurança da organização visada.
Cronologia de eventos e contexto
As actividades foram reportadas inicialmente pela empresa de monitoramento de ameaças GreyNoise, que fere que essas ocorrências não são aleatórias, mas sim caracterizadas por padrões repetíveis e estatisticamente significativos.
A mudança de foco da VPNs SSL, vista a 3 de Agosto, para o FortiManager, em 5 de Agosto, sugere, segundo a GreyNoise, que os mesmos atacantes, ou pelo menos as mesmas ferramentas, passaram de tentar forçar o acesso às VPNs para tentar obter controlo sobre a plataforma de gestão centralizada da Fortinet.
Créditos: GreyNoise
De acordo com a GreyNoise, o aumento da varredura deliberada e força bruta precedem a divulgação de novas vulnerabilidades de segurança em 80% das vezes.
“Novas pesquisas mostram que picos como esse geralmente precedem a divulgação de novas vulnerabilidades que afectam o mesmo fornecedor – a maioria delas dentro de seis semanas”, alerta a empresa.
As varreduras são tácticas frequentemente usadas por hackers para enumerarem os sistemas expostos, avaliarem o seu potencial e prepararem ataques em larga escala, que são lançados após a identificação das vulnerabilidades.
A GreyNoise apela, por isso, que os administradores de sistemas não descartem esses picos de actividade como tentativas fracassadas de explorar falhas antigas e corrigidas, devem sim tratá-los como “potenciais precursores da divulgação de dia zero e fortalecer as medidas de segurança para bloqueá-los”.
Como se prevenir?
Medidas de prevenção recomendáveis incluem:
- Activação da autenticação multi-factor (MFA);
- Monitorização de logs e configuração de alertas de falha de login;
- Utilização de políticas de senhas fortes e bloqueio de contas após múltiplas tentativas falhas;
- Uso de geo-blocking para interfaces de gestão.
