50.000 Senhas de VPNs Fortinet expostas desde 2018. Lista de alvos vulneráveis estão os IPs pertencentes a grandes bancos, telecomunicações e organizações governamentais de todo o mundo.
Hacker postou uma lista de exploits online para o CVE-2018-13379 para roubar credenciais VPN desses dispositivos, conforme relatado por BleepingComputer.
Arquivos vazados expõem nomes de usuário, senhas, IPs sem máscara
A exploração da vulnerabilidade crítica do FortiOS CVE-2018-13379 permite que um invasor acesse os arquivos confidenciais “sslvpn_websession” de VPNs do Fortinet. Esses arquivos contêm informações relacionadas à sessão, mas o mais importante, podem revelar nomes de usuário em texto simples e senhas de usuários do Fortinet VPN.
Hoje, o analista de inteligência de ameaças Bank_Security encontrou outro tópico no fórum de hackers, onde um ator de ameaças compartilhou um dump de dados contendo arquivos “sslvpn_websession” para cada IP que estava na lista.
Conforme observado pelo BleepingComputer, esses arquivos revelam nomes de usuários, senhas, níveis de acesso (por exemplo, “acesso total”) e os endereços IP originais não mascarados de usuários conectados às VPNs.
Hacker vaza arquivos sslvpn_websession contendo credenciais de quase 50.000 VPNs Fortinet
Fonte: Twitter
O novo conjunto de dados postado no fórum é apenas um arquivo RAR de 36 MB, mas quando descompactado, expande para mais de 7 GB, no momento dos testes.
A exposição de senhas nesses arquivos significa que, mesmo se as VPNs Fortinet vulneráveis forem corrigidas posteriormente, essas credenciais podem ser reutilizadas por qualquer pessoa com acesso ao dump dos ataques de credenciais de acesso a essas VPNs.
Embora as motivações do ator da ameaça para este vazamento expansivo não sejam claras, BleepingComputer notou que o arquivo recém-vazado tem listas marcadas como pak separando IPs VPN baseados no Paquistão e arquivos “sslvpn_websession” correspondentes a um conjunto de dados VPN de mais de 49.000. credenciais.
Além disso, está incluído um arquivo de imagem intitulado ” f ** k israel.jpg “, que é um pôster de Adolf Hitler “Sim, nós podemos” criado no estilo do pôster da campanha presidencial de Obama em 2008.
Fortinet tentou alertar os clientes repetidamente
A Fortinet disse ao BleepingComputer, desde a divulgação pública da vulnerabilidade crítica Path Traversal (CVE-2018-13379) no ano passado, a empresa alertou repetidamente seus clientes, incentivando-os a corrigir as instâncias vulneráveis do FortiOS.
“A segurança de nossos clientes é nossa primeira prioridade. Em maio de 2019, a Fortinet emitiu um comunicado PSIRT sobre uma vulnerabilidade SSL que foi resolvida e também se comunicou diretamente com os clientes e novamente por meio de postagens de blog corporativo em agosto de 2019 e julho de 2020 , recomendando fortemente uma atualização “, disse um porta-voz da Fortinet à BleepingComputer.
Apesar dessas medidas, o bug crítico foi amplamente explorado devido à falta de patch.
A mesma falha foi aproveitada por invasores para invadir os sistemas de apoio às eleições do governo dos EUA , conforme relatado pela BleepingComputer.
No início deste ano, os atores de ameaças do estado-nação transformaram a vulnerabilidade em uma arma para comprometer redes e implantar ransomware .
“Na última semana, comunicamos a todos os clientes, notificando-os novamente sobre a vulnerabilidade e as etapas para mitigá-los. Embora não possamos confirmar se os vetores de ataque para este grupo ocorreram por meio desta vulnerabilidade, continuamos a instar os clientes a implementar a atualização mitigações. Para obter mais informações, visite nosso blog atualizado e consulte imediatamente o comunicado de maio de 2019 [PSIRT] “, concluiu Fortinet.
Os administradores de rede e profissionais de segurança são, portanto, incentivados a corrigir essa vulnerabilidade severa imediatamente.
Fonte: BleepingComputer
Veja também:
- Hack de vale-presente – você paga, eles compram
- Vazamento no Ministério da Saúde expõe dados de 16 milhões de pessoas
- Como usar a estrutura Mitre ATT&CK para segurança na nuvem
- Justiça aplica Lei Geral de Proteção de Dados à Serasa Experian
- Sua senha não é segura, nem uma autenticação multifator SMS
- Microsoft confirma problema sério de senha do Windows 10
- Cavalo de Troia bancário brasileiro pode espionar mais de 150 aplicativos financeiros
- Fresh Malware visa usuários do Mercado Livre e sites de comércio eletrônico na América Latina
- O que a presidência de Joe Biden significa para a segurança cibernética
- A LGPD e o mito do advogado que entende de dados
- Falta de privacidade mata mais que terrorismo
- TSE admite ataque hacker neste domingo de eleições
Deixe sua opinião!