Fortibleed a Andorra: com un atac a tallafocs Fortinet ha exposat comuns i empreses del país
Una anàlisi de les dades públiques de l'atac global a dispositius FortiGate mostra almenys dos comuns i una empresa andorrana afectats, i deu adreces IP més que no apareixen si només es busca per domini.
És públic que Andorra Telecom és distribuïdor oficial de Fortinet, però de moment el seu domini, com a domini, no apareix a les llistes d'exposició. En canvi, almenys dos comuns i una empresa sí que hi consten. Saber com s'ha fet l'atac ajuda a entendre per què uns sí i altres no.
Els atacants van buscar primer panells d'administració de Fortinet exposats a Internet on fos fàcil entrar, perquè tenien contrasenyes molt febles o reutilitzaven parells d'usuari i contrasenya ja filtrats en incidents anteriors. Un cop dins, feien una còpia de la configuració dels FortiGate, els aparells que fan de tallafocs a empreses i institucions. Una manera antiga però encara en ús de gestionar les contrasenyes deixava dins la configuració una empremta digital (hash) de les contrasenyes dels usuaris. Amb el hash i amb taules d'equivalència d'incidents anteriors, els atacants obtenien els accessos VPN dels usuaris, no només de l'administració.
A partir d'aquest accés, la distinció entre un usuari legítim i l'atacant era virtualment zero, i per això era molt difícil detectar-lo. Així és com han estat espiant sense ser detectats. Amb tècniques com aquestes van vulnerar un dels comuns d'Andorra, del nord-est del país: ho sabem gairebé segur gràcies a l'eina FortiBleed Check de l'empresa de seguretat SOCRadar. Al comú li van robar dades de VPN i credencials. A un segon comú, al nord-oest, i a una empresa d'assessorament fiscal de la capital, només consta l'exposició de les VPN.
Que se sàpiga que els atacants tenien les claus no vol dir que les hagin fet servir; només que tenien les claus per entrar-hi. Com que la llista de dominis no ho capta tot, he fet un segon pas: creuar la llista pública d'IP víctimes que publica l'investigador Kevin Beaumont amb tot l'espai d'adreces d'Andorra. El resultat són deu IP de dispositius andorrans afectats que no apareixen si es busca per domini, sis d'elles en blocs molt propers entre si.