Fortibleed en Andòrra: com un atac a talhahuecs Fortinet a exposat comuns e empreses deth país
Ua analisi des donades publiques der atac globau a dispositius FortiGate mòstre aumens dus comuns e ua empresa andorrana afectadi, e dètz adreces IP mès que non apareishen se solament se cerque per domeni.
Ei public qu'Andòrra Telecom ei distribuidor oficiau de Fortinet, mès peth moment eth sòn domeni, coma domeni, non apareish enes listes d'exposicion. Per contra, aumens dus comuns e ua empresa òc que i cònsten. Saber com s'a hèt er atac ajude a compréner per qué uns òc e d'auti non.
Es atacants cerquèren prumèr panèls d'administracion de Fortinet exposadi en Internet a on siguesse facil entrar, pr'amor qu'auien contrasenhes fòrça fèbles o reutilizauen parelhs d'usatgèr e contrasenha ja filtrats en incidents anteriors. Un còp laguens, hègen ua còpia dera configuracion des FortiGate, es aparelhs que hèn de talhahuecs en empreses e institucions. Ua manèra anciana, mès encara en usatge, de gerir es contrasenhes deishaue laguens dera configuracion ua emprenta digitau (hash) des contrasenhes des usatgèrs. Damb eth hash e damb taules d'equivaléncia d'incidents anteriors, es atacants obtiegen es accèssi VPN des usatgèrs, non solament dera administracion.
A compdar d'aguest accès, era distincion entre un usatgèr legitim e er atacant ère virtualment zèro, e per açò ère fòrça malaisit detectar-lo. Atau ei com an estat espiant sense èster detectadi. Damb tecniques coma aguestes vulnerèren un des comuns d'Andòrra, deth nòrd-èst deth país: ac sabem quasi segur mercés ar esturment FortiBleed Check dera empresa de seguretat SOCRadar. Ath comun li panèren donades de VPN e credenciaus. A un dusau comun, ath nòrd-oèst, e a ua empresa d'assessorament fiscau deth cap-lòc, solament cònste era exposicion des VPN.
Que se sàpie qu'es atacants auien es claus non vò díder que les agen emplegades; solament qu'auien es claus entà entrar-i. Com qu'era lista de domenis non ac capte tot, è hèt un dusau pas: crotzar era lista publica d'IP victimes que publique er investigador Kevin Beaumont damb tot er espaci d'adreces d'Andòrra. Eth resultat son dètz adreces IP de dispositius andorrans afectadi que non apareishen se se cerque per domeni, sies d'eres en blòcs fòrça pròplèus entre se.