50.000 Senhas de VPNs Fortinet expostas desde 2018

50.000 Senhas de VPNs Fortinet expostas desde 2018. Lista de alvos vulneráveis ​​estão os IPs pertencentes a grandes bancos, telecomunicações e organizações governamentais de todo o mundo.

Hacker postou uma lista de exploits online  para o CVE-2018-13379 para roubar credenciais VPN desses dispositivos, conforme relatado por BleepingComputer

Arquivos vazados expõem nomes de usuário, senhas, IPs sem máscara

A exploração da vulnerabilidade crítica do FortiOS CVE-2018-13379 permite que um invasor acesse os arquivos confidenciais “sslvpn_websession” de VPNs do Fortinet. Esses arquivos contêm informações relacionadas à sessão, mas o mais importante, podem revelar nomes de usuário em texto simples e senhas de usuários do Fortinet VPN.

Hoje, o analista de inteligência de ameaças  Bank_Security  encontrou outro tópico no fórum de hackers, onde um ator de ameaças compartilhou um dump de dados contendo arquivos “sslvpn_websession” para cada IP que estava na lista.

Conforme observado pelo BleepingComputer, esses arquivos revelam nomes de usuários, senhas, níveis de acesso (por exemplo, “acesso total”) e os endereços IP originais não mascarados de usuários conectados às VPNs.

Hacker vaza arquivos sslvpn_websession contendo credenciais de quase 50.000 VPNs Fortinet
Fonte: Twitter

O novo conjunto de dados postado no fórum é apenas um arquivo RAR de 36 MB, mas quando descompactado, expande para mais de 7 GB, no momento dos testes. 

A exposição de senhas nesses arquivos significa que, mesmo se as VPNs Fortinet vulneráveis ​​forem corrigidas posteriormente, essas credenciais podem ser reutilizadas por qualquer pessoa com acesso ao dump dos ataques de credenciais de acesso a essas VPNs.

Embora as motivações do ator da ameaça para este vazamento expansivo não sejam claras, BleepingComputer notou que o arquivo recém-vazado tem listas marcadas como  pak  separando IPs VPN baseados no Paquistão e arquivos “sslvpn_websession” correspondentes a um conjunto de dados VPN de mais de 49.000. credenciais.

Além disso, está incluído um arquivo de imagem intitulado ” f ** k israel.jpg “, que é um pôster de Adolf Hitler “Sim, nós podemos” criado no estilo do pôster da campanha presidencial de Obama em 2008.

Fortinet tentou alertar os clientes repetidamente

A Fortinet disse ao BleepingComputer, desde a divulgação pública da vulnerabilidade crítica Path Traversal (CVE-2018-13379) no ano passado, a empresa alertou repetidamente seus clientes, incentivando-os a corrigir as instâncias vulneráveis ​​do FortiOS.

A segurança de nossos clientes é nossa primeira prioridade. Em maio de 2019, a Fortinet emitiu um  comunicado PSIRT  sobre uma vulnerabilidade SSL que foi resolvida e também se comunicou diretamente com os clientes e novamente por meio de postagens de blog corporativo em  agosto de 2019  e  julho de 2020  , recomendando fortemente uma atualização “, disse um porta-voz da Fortinet à BleepingComputer.

Apesar dessas medidas, o bug crítico foi amplamente explorado devido à falta de patch.

A mesma falha foi aproveitada por invasores para invadir os  sistemas de apoio às eleições do governo dos EUA , conforme relatado pela BleepingComputer.

No início deste ano, os atores de ameaças do estado-nação transformaram a vulnerabilidade em uma arma para comprometer redes e implantar ransomware .

Na última semana, comunicamos a todos os clientes, notificando-os novamente sobre a vulnerabilidade e as etapas para mitigá-los. Embora não possamos confirmar se os vetores de ataque para este grupo ocorreram por meio desta vulnerabilidade, continuamos a instar os clientes a implementar a atualização mitigações. Para obter mais informações, visite nosso blog atualizado e consulte imediatamente o comunicado de maio de 2019 [PSIRT] “, concluiu Fortinet.

Os administradores de rede e profissionais de segurança são, portanto, incentivados a corrigir essa vulnerabilidade severa imediatamente.

Como proteção, os usuários do Fortinet VPN devem alterar suas senhas imediatamente nos dispositivos VPN e em qualquer outro site onde as mesmas credenciais foram usadas. 
 
Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. MPDFT pede busca e apreensão e medidas cautelares contra hackers que atacaram o TSE
  2. Hackers vazam dados da Embraer após ataque de ransonware
  3. Remote Work: Seu chefe é sua maior ameaça cibernética

Deixe sua opinião!