Hackers desconhecidos publicam dados de 50.000 usuários de VPNs Fortinet
Recentemente, um agente mal-intencionado publicou uma lista de credenciais para quase 50.000 Fortinet Inc. De acordo com o relatório, uma vulnerabilidade conhecida na VPN resulta na violação de dados. A lista de alvos vulneráveis inclui bancos, empresas de telecomunicações e organizações governamentais em todo o mundo.
O 6-7 Gigabyte do banco de dados compactado é oferecido em um fórum de hackers popular e é considerado o “o mais completo, contendo todos os links de exploração e arquivos de sessão da web sslvpn com nome de usuário e senhas.”
Arquivos “sslvpn_websession” são explorados usando a vulnerabilidade FortiOS CVE-2018-13379. Isso permite que os invasores coletem dados confidenciais de VPNs Fortinet. Embora o arquivo contenha as informações relacionadas à sessão, ele também pode revelar os nomes de usuário e senhas dos usuários do Fortinet VPN.
Hoje, o analista de inteligência de ameaças, Bank_Security encontrou um despejo de dados contendo arquivos “sslvpn_websession” para cada endereço IP encontrado no mínimo, em um fórum de hackers. Esses arquivos revelam nomes de usuários, senhas, níveis de acesso e os endereços IP originais não mascarados dos usuários para as VPNs.
A vulnerabilidade crítica CVE-2018-13379 ou Path Traversal divulgada ao público no ano passado. Desde então, a empresa alertou repetidamente seus clientes sobre a vulnerabilidade e os encorajou a fazer o patch.
Um porta-voz da Fortinet disse:
“A segurança de nossos clientes é nossa primeira prioridade. Em maio de 2019, a Fortinet emitiu um comunicado PSIRT sobre uma vulnerabilidade SSL que foi resolvida e também se comunicou diretamente com os clientes e novamente por meio de postagens de blog corporativo em agosto de 2019 e julho de 2020, recomendando fortemente uma atualização . “
Apesar dessa medida, o bug crítico foi amplamente explorado porque as pessoas não têm o patch. Essa é a mesma falha que foi aproveitada pelo ataque para invadir os sistemas de apoio às eleições do governo dos EUA.
“Na última semana, comunicamos a todos os clientes, notificando-os novamente sobre a vulnerabilidade e as etapas para mitigá-los. Embora não possamos confirmar se os vetores de ataque para este grupo ocorreram por meio desta vulnerabilidade, continuamos a instar os clientes a implementar a atualização e mitigações. Para obter mais informações, visite nosso blog atualizado e consulte imediatamente o comunicado de maio de 2019 [PSIRT] “, concluiu Fortinet.
Portanto, todos os administradores de rede e profissionais de segurança são fortemente sugeridos para corrigir essa vulnerabilidade severa imediatamente. Além disso, os usuários devem alterar suas senhas imediatamente nos dispositivos VP e em quaisquer outros sites onde estejam usando as mesmas senhas.