Gli hacker sconosciuti pubblicano 50.000 dati degli utenti di Fortinet VPN
Recentemente, un malintenzionato ha pubblicato un elenco di credenziali per quasi 50.000 Fortinet Inc. Come da rapporto, una vulnerabilità nota alla VPN provoca la violazione dei dati. L’elenco degli obiettivi vulnerabili include banche, telecomunicazioni e organizzazioni governative di tutto il mondo.
I 6-7 Gigabyte del database compresso sono offerti su un popolare forum di hacking e si dice che siano “il risultato più completo contenente tutti i collegamenti di exploit ei file di sessione web sslvpn con nome utente e password”.
I file “sslvpn_websession” vengono sfruttati utilizzando la vulnerabilità FortiOS CVE-2018-13379. Ciò consente agli aggressori di raccogliere dati sensibili dalle VPN Fortinet. Sebbene il file contenga le informazioni relative alla sessione, potrebbe rivelare anche i nomi utente e le password degli utenti VPN Fortinet.
Oggi, l’analista di informazioni sulle minacce, Bank_Security, ha trovato un dump di dati contenente i file “sslvpn_websession” per ogni indirizzo IP trovato almeno, su un forum di hacker. Questi file rivelano nomi utente, password, livelli di accesso e gli indirizzi IP originali non mascherati degli utenti alle VPN.
La vulnerabilità critica CVE-2018-13379 o Path Traversal rivelata al pubblico lo scorso anno. Da allora, l’azienda ha ripetutamente avvisato i propri clienti della vulnerabilità e li ha incoraggiati a richiedere la patch.
Un portavoce di Fortinet ha detto:
“La sicurezza dei nostri clienti è la nostra prima priorità. Nel maggio 2019 Fortinet ha emesso un avviso PSIRT relativo a una vulnerabilità SSL che è stata risolta e ha anche comunicato direttamente con i clienti e di nuovo tramite post sul blog aziendale nell’agosto 2019 e luglio 2020 raccomandando vivamente un aggiornamento . “
Nonostante questa misura, il bug critico è stato ampiamente sfruttato perché alle persone manca la patch. Questo è lo stesso difetto sfruttato dagli attaccati per irrompere nei sistemi di supporto alle elezioni del governo statunitense.
“Nell’ultima settimana, abbiamo comunicato a tutti i clienti notificandoli nuovamente della vulnerabilità e dei passaggi per mitigare. Sebbene non possiamo confermare che i vettori di attacco per questo gruppo siano avvenuti tramite questa vulnerabilità, continuiamo a esortare i clienti a implementare l’aggiornamento e mitigazioni. Per ulteriori informazioni, visitare il nostro blog aggiornato e fare immediatamente riferimento all’advisory [PSIRT] di maggio 2019 “, ha concluso Fortinet.
Pertanto, si consiglia vivamente a tutti gli amministratori di rete e ai professionisti della sicurezza di correggere immediatamente questa grave vulnerabilità. Inoltre, gli utenti devono modificare immediatamente le proprie password sia sui dispositivi VP che su qualsiasi altro sito in cui utilizzano le stesse password.