Contraseñas expuestas para casi 50,000 VPN´s Fortinet vulnerables

Un hacker ha filtrado las credenciales de casi 50,000 VPN´s de Fortinet vulnerables.

Durante el fin de semana, un hacker había publicado una lista de exploits para CVE-2018-13379. Esto para robar credenciales de VPN de estos dispositivos, según reportaron diferentes medios.

En la lista de objetivos vulnerables están presentes las IP´s que pertenecen a los principales bancos, telecomunicaciones y organizaciones gubernamentales de todo el mundo.

Los archivos filtrados exponen nombres de usuario, contraseñas, e IP´s

La explotación de la vulnerabilidad crítica de FortiOS CVE-2018-13379 permite a un atacante acceder a los archivos sensibles “sslvpn_websession” de las VPN de Fortinet.

Estos archivos contienen información relacionada con la sesión. No obstante, lo más importante es que pueden revelar nombres de usuario y contraseñas de texto sin formato de los usuarios de Fortinet VPN.

Hoy, el analista de inteligencia de amenazas Bank_Security ha encontrado otro hilo en el foro de hackers. En el hilo, un actor de amenazas compartió un registro de datos que contiene archivos “sslvpn_websession” para cada IP que había estado en la lista.

Como observamos, estos archivos revelan nombres de usuario, contraseñas, niveles de acceso (por ejemplo, “acceso completo”). Asimismo, revela las direcciones IP originales sin máscara de los usuarios conectados a las VPN.

El nuevo conjunto de datos publicado en el foro es simplemente un archivo RAR de 36 MB. Sin embargo, cuando se descomprime, se expande a más de 7 GB en el momento de nuestra prueba. 

La exposición de contraseñas en estos archivos significa que, incluso si las VPN de Fortinet vulnerables se parchean posteriormente, pueden ser vulneradas. Es decir, estas credenciales podrían ser reutilizadas por cualquier persona con acceso al registro en ataques de relleno de credenciales. También pueden ser utilizadas para recuperar potencialmente el acceso a estas VPN’s.

Motivaciones

Si bien las motivaciones del actor de amenazas para esta segunda filtración expansiva no están claras, hay algunas curiosidades. El archivo recientemente filtrado tiene listas marcadas como pak que separan las IP´s de VPN con base en Pakistán. Por otra parte, los archivos “sslvpn_websession” corresponde al gran conjunto de datos de más de 49,000 VPN.

También se adjunta un archivo de imagen titulado ” f ** k israel.jpg “, que es un cartel de Adolf Hitler de “Sí, podemos”. Este está creado al estilo del cartel de la campaña presidencial de 2008 de Obama.

Para empeorar las cosas, el registro de credenciales se está volviendo a publicar en otros foros y chats.

Fortinet trató repetidamente de advertir a los clientes

Esta semana, Fortinet mencionó que, desde la divulgación pública de la vulnerabilidad crítica de recorrido de ruta CVE-2018-13379) el año pasado, ellos han actuado. La compañía había alertado repetidamente a sus clientes, alentándolos a parchear las instancias vulnerables de FortiOS.

“La seguridad de nuestros clientes es nuestra primera prioridad. En mayo de 2019, Fortinet emitió un aviso de PSIRT con respecto a una vulnerabilidad SSL que se resolvió. Y, también se ha comunicado directamente con los clientes y nuevamente a través de publicaciones de blogs corporativos en agosto de 2019 y julio de 2020. Les recomendamos encarecidamente una actualización”, dijo un portavoz de Fortinet.

A pesar de estas medidas, la vulnerabilidad critica se ha explotado ampliamente en el entorno debido a la falta de parches.

Los atacantes aprovecharon la misma falla para irrumpir en los sistemas de apoyo a las elecciones del gobierno de Estados Unidos. Esto según diversos reportes.

A principios de este año, los actores de amenazas de diferentes estado-nación habían armado la vulnerabilidad para comprometer redes y desplegar ransomware.

“En la última semana, nos hemos comunicado con todos los clientes notificándoles nuevamente sobre la vulnerabilidad y los pasos para mitigarlos. Si bien no podemos confirmar que los vectores de ataque para este grupo tuvieron lugar a través de esta vulnerabilidad, seguimos instando a los clientes a implementar la actualización y mitigaciones. Para obtener más información, visita nuestro blog actualizado   e inmediatamente debes consultar el aviso de mayo de 2019 [PSIRT] “, concluyó Fortinet.

Recomendaciones

Por lo tanto, se recomienda a los administradores de red y profesionales de la seguridad que parcheen esta grave vulnerabilidad de inmediato.

Como medida de seguridad, los usuarios de la VPN de Fortinet deben cambiar sus contraseñas de inmediato. Deben hacerlo tanto en los dispositivos VPN como en cualquier otro sitio web donde se hayan utilizado las mismas credenciales.