50.000 Senhas de VPNs Fortinet expostas desde 2018

30/11/2020 mindsecblog Notícias 3

50.000 Senhas de VPNs Fortinet expostas desde 2018. Lista de alvos vulneráveis estão os IPs pertencentes a grandes bancos, telecomunicações e organizações governamentais de todo o mundo.

Hacker postou uma lista de exploits online para o CVE-2018-13379 para roubar credenciais VPN desses dispositivos, conforme relatado por BleepingComputer.

Arquivos vazados expõem nomes de usuário, senhas, IPs sem máscara

A exploração da vulnerabilidade crítica do FortiOS CVE-2018-13379 permite que um invasor acesse os arquivos confidenciais “sslvpn_websession” de VPNs do Fortinet. Esses arquivos contêm informações relacionadas à sessão, mas o mais importante, podem revelar nomes de usuário em texto simples e senhas de usuários do Fortinet VPN.

Hoje, o analista de inteligência de ameaças Bank_Security encontrou outro tópico no fórum de hackers, onde um ator de ameaças compartilhou um dump de dados contendo arquivos “sslvpn_websession” para cada IP que estava na lista.

Conforme observado pelo BleepingComputer, esses arquivos revelam nomes de usuários, senhas, níveis de acesso (por exemplo, “acesso total”) e os endereços IP originais não mascarados de usuários conectados às VPNs.

Hacker vaza arquivos sslvpn_websession contendo credenciais de quase 50.000 VPNs Fortinet
Fonte: Twitter

O novo conjunto de dados postado no fórum é apenas um arquivo RAR de 36 MB, mas quando descompactado, expande para mais de 7 GB, no momento dos testes.

A exposição de senhas nesses arquivos significa que, mesmo se as VPNs Fortinet vulneráveis forem corrigidas posteriormente, essas credenciais podem ser reutilizadas por qualquer pessoa com acesso ao dump dos ataques de credenciais de acesso a essas VPNs.

Embora as motivações do ator da ameaça para este vazamento expansivo não sejam claras, BleepingComputer notou que o arquivo recém-vazado tem listas marcadas como pak separando IPs VPN baseados no Paquistão e arquivos “sslvpn_websession” correspondentes a um conjunto de dados VPN de mais de 49.000. credenciais.

Além disso, está incluído um arquivo de imagem intitulado ” f ** k israel.jpg “, que é um pôster de Adolf Hitler “Sim, nós podemos” criado no estilo do pôster da campanha presidencial de Obama em 2008.

Fortinet tentou alertar os clientes repetidamente

A Fortinet disse ao BleepingComputer, desde a divulgação pública da vulnerabilidade crítica Path Traversal (CVE-2018-13379) no ano passado, a empresa alertou repetidamente seus clientes, incentivando-os a corrigir as instâncias vulneráveis do FortiOS.

“A segurança de nossos clientes é nossa primeira prioridade. Em maio de 2019, a Fortinet emitiu um comunicado PSIRT sobre uma vulnerabilidade SSL que foi resolvida e também se comunicou diretamente com os clientes e novamente por meio de postagens de blog corporativo em agosto de 2019 e julho de 2020 , recomendando fortemente uma atualização “, disse um porta-voz da Fortinet à BleepingComputer.

Apesar dessas medidas, o bug crítico foi amplamente explorado devido à falta de patch.

A mesma falha foi aproveitada por invasores para invadir os sistemas de apoio às eleições do governo dos EUA , conforme relatado pela BleepingComputer.

No início deste ano, os atores de ameaças do estado-nação transformaram a vulnerabilidade em uma arma para comprometer redes e implantar ransomware .

“Na última semana, comunicamos a todos os clientes, notificando-os novamente sobre a vulnerabilidade e as etapas para mitigá-los. Embora não possamos confirmar se os vetores de ataque para este grupo ocorreram por meio desta vulnerabilidade, continuamos a instar os clientes a implementar a atualização mitigações. Para obter mais informações, visite nosso blog atualizado e consulte imediatamente o comunicado de maio de 2019 [PSIRT] “, concluiu Fortinet.

Os administradores de rede e profissionais de segurança são, portanto, incentivados a corrigir essa vulnerabilidade severa imediatamente.

Como proteção, os usuários do Fortinet VPN devem alterar suas senhas imediatamente nos dispositivos VPN e em qualquer outro site onde as mesmas credenciais foram usadas.