Hackers desconocidos publican 50.000 datos de usuarios de VPN de Fortinet
Recientemente, un actor malintencionado publicó una lista de credenciales para casi 50, 000 Fortinet Inc. Según el informe, una vulnerabilidad conocida de la VPN provoca la violación de datos. La lista de objetivos vulnerables incluye bancos comerciales, telecomunicaciones y organizaciones gubernamentales de todo el mundo.
Los 6-7 Gigabytes de la base de datos comprimida se ofrecen en un foro de piratería popular y se dice que es el “logro más completo que contiene todos los enlaces de explotación y archivos de sesión web sslvpn con nombre de usuario y contraseñas”.
Los archivos “sslvpn_websession” se explotan mediante la vulnerabilidad FortiOS CVE-2018-13379. Esto permite a los atacantes recopilar datos confidenciales de las VPN de Fortinet. Si bien el archivo contiene la información relacionada con la sesión, también puede revelar los nombres de usuario y las contraseñas de los usuarios de Fortinet VPN.
Hoy, el analista de inteligencia de amenazas, Bank_Security ha encontrado un volcado de datos que contiene archivos “sslvpn_websession” para cada dirección IP encontrada al menos, en un foro de hackers. Estos archivos revelan nombres de usuario, contraseñas, niveles de acceso y las direcciones IP originales desenmascaradas de los usuarios a las VPN.
La vulnerabilidad crítica CVE-2018-13379 o Path Traversal revelada al público el año pasado. Desde entonces, la compañía ha alertado repetidamente a sus clientes sobre la vulnerabilidad y los ha alentado para el parche.
Un portavoz de Fortinet dijo:
“La seguridad de nuestros clientes es nuestra primera prioridad. En mayo de 2019, Fortinet emitió un aviso de PSIRT con respecto a una vulnerabilidad SSL que se resolvió, y también se ha comunicado directamente con los clientes y nuevamente a través de publicaciones de blogs corporativos en agosto de 2019 y julio de 2020 recomendando encarecidamente una actualización. . “
A pesar de esta medida, el error crítico se ha aprovechado ampliamente porque la gente carece del parche. Esta es la misma falla que fue aprovechada por los ataques para irrumpir en los sistemas de apoyo a las elecciones del gobierno de EE. UU.
“En la última semana, nos hemos comunicado con todos los clientes notificándoles nuevamente sobre la vulnerabilidad y los pasos para mitigarlos. Si bien no podemos confirmar que los vectores de ataque para este grupo tuvieron lugar a través de esta vulnerabilidad, seguimos instando a los clientes a implementar la actualización y mitigaciones. Para obtener más información, visite nuestro blog actualizado y consulte inmediatamente el aviso de mayo de 2019 [PSIRT] “, concluyó Fortinet.
Por lo tanto, se recomienda encarecidamente a todos los administradores de red y profesionales de la seguridad que parcheen esta grave vulnerabilidad de inmediato. Además, los usuarios deben cambiar sus contraseñas de inmediato tanto en los dispositivos VP como en cualquier otro sitio donde estén usando las mismas contraseñas.