0
0
Um hacker já vazou as credenciais para quase 50.000 VPNs Fortinet vulneráveis.
No fim de semana, um hacker havia postado uma lista de explorações de uma linha para o CVE-2018-13379 para roubar credenciais de VPN desses dispositivos, conforme relatado pelo BleepingComputer.
Presentes na lista de alvos vulneráveis estão IPs pertencentes a bancos de rua, telecomunicações e organizações governamentais de todo o mundo.
Arquivos vazados expõem nomes de usuário, senhas, IPs desmascarados
A exploração da vulnerabilidade crítica do FortiOS CVE-2018-13379 permite que um invasor acesse os arquivos sensíveis de “sslvpn_websession” das VPNs fortinet.
Esses arquivos contêm informações relacionadas à sessão, mas o mais importante pode revelar nomes de usuário de texto simples e senhas de usuários de VPN Fortinet.
Hoje, o analista de inteligência de ameaças Bank_Security encontrou outro tópico no fórum de hackers onde um ator de ameaças compartilhou um despejo de dados contendo arquivos “sslvpn_websession” para cada IP que estava na lista.
Como observado pelo BleepingComputer, esses arquivos revelam nomes de usuário, senhas, níveis de acesso (por exemplo, “acesso total”) e os endereços IP originais desmascarados dos usuários conectados às VPNs.
Fortinet Fonte: Twitter
O novo conjunto de dados publicado no fórum é apenas um arquivo RAR de 36 MB, mas quando descomprimido, expande-se mais de 7 GB, no momento do nosso teste.
A exposição de senhas nesses arquivos significa que, mesmo que as VPNs Fortinet vulneráveis sejam corrigidas posteriormente, essas credenciais podem ser reutilizadas por qualquer pessoa com acesso ao dump em ataques de enmento credencial, ou potencialmente recuperar o acesso a essas VPNs.
Fonte: BleepingComputer
Embora as motivações do ator de ameaças para este segundo, vazamento expansivo não sejam claras, o BleepingComputer notou, o arquivo recém-vazado tem listas marcadas pak separando IPs VPN baseados no Paquistão e arquivos correspondentes “sslvpn_websession” do grande conjunto de dados VPN de 49.000+
Além disso, está um arquivo de imagem intitulado”f**k israel.jpg” que é um pôster de Adolf Hitler “Sim, podemos” criado no estilo do pôster da campanha presidencial de Obama em 2008.
Para piorar as coisas, o despejo de credenciais está sendo repostado em outros fóruns e bate-papos.
Fortinet tentou repetidamente avisar os clientes
Esta semana, Fortinet disse à BleepingComputer, desde a divulgação pública da vulnerabilidade crítica da Path Traversal (CVE-2018-13379) no ano passado, a empresa alertou repetidamente seus clientes, encorajando-os a corrigir as instâncias vulneráveis do FortiOS.
“A segurança de nossos clientes é nossa prioridade. Em maio de 2019, a Fortinet emitiu um aviso psirt sobre uma vulnerabilidade SSL que foi resolvida, e também se comunicou diretamente com os clientes e novamente através de posts no blog corporativo em agosto de 2019 e julho de 2020 recomendando fortemente uma atualização”, disse um porta-voz da Fortinet ao BleepingComputer.
Apesar dessas medidas, o bug crítico tem sido extensivamente explorado na natureza devido à falta de remendos.
A mesma falha foi aproveitada pelos atacantes para invadir sistemas de apoio às eleições do governo dos EUA,como relatado pelo BleepingComputer.
No início deste ano, atores de ameaças do estado-nação armaram a vulnerabilidade para comprometer redes e implantar ransomware.
“Na última semana, nos comunicamos com todos os clientes notificando-os novamente sobre a vulnerabilidade e as etapas para mitigar. Embora não possamos confirmar que os vetores de ataque desse grupo ocorreram através dessa vulnerabilidade, continuamos a instar os clientes a implementar a atualização e mitigações. Para obter mais informações, visite nosso blog atualizado e consulte imediatamente a assessoria de maio de 2019 [PSIRT]”, concluiu Fortinet.
Os administradores de rede e os profissionais de segurança são, portanto, encorajados a corrigir essa grave vulnerabilidade imediatamente.
Como uma salvaguarda, os usuários da VPN Fortinet devem alterar suas senhas imediatamente, tanto nos dispositivos VPN, quanto em quaisquer outros sites onde as mesmas credenciais foram usadas.
FONTE: BLEEPING COMPUTER