Furnizorul de soluții de securitate Fortinet a confirmat că un actor rău intenționat a divulgat nume de utilizator și parole asociate conturilor de VPN pentru 87.000 de dispozitive SSL-VPN FortiGate.

„Aceste credențiale au fost obținute de la sisteme care au rămas neactualizate pentru vulnerabilitatea CVE-2018-13379 la momentul scanării efectuate de către actorul rău intenționat. Deși este posibil să fi fost modificate de atunci, dacă parolele nu au fost resetate, acestea rămân vulnerabile”, a declarat compania într-un comunicat.

Dezvăluirea vine după ce actorul rău intenționat a publicat gratuit o listă de credențiale Fortinet pe un nou forum populat de vorbitori de limbă rusă numit RAMP, lansat în iulie 2021, precum și pe site-ul grupării de ransomware Groove, Advanced Intel menționând că „lista aferentă breșei de securitate conține date brute de acces la companii de top” din 74 de țări, inclusiv India, Taiwan, Italia, Franța și Israel. „2.959 din 22.500 de victime sunt entități americane”, au spus cercetătorii.

CVE-2018-13379 se referă la o vulnerabilitate „path traversal” (de acces la fișiere de pe serverul web la care nu au acces) în portalul web FortiOS SSL VPN, care permite atacatorilor neautentificați să citească fișiere de sistem arbitrare, inclusiv fișierul de sesiune, care conține nume de utilizator și parole stocate în format text simplu.

Deși eroarea a fost remediată în mai 2019, vulnerabilitatea de securitate a fost exploatată în mod repetat de mai mulți atacatori pentru a implementa o serie de aplicații dăunătoare pe dispozitivele pe care nu au fost instalate patch-urile, ceea ce a determinat Fortinet să emită o serie de recomandări în august 2019, iulie 2020, aprilie 2021 și din nou în iunie 2021, îndemnând clienții să actualizeze echipamentele afectate.

0,89% dintre victime sunt din România

CVE-2018-13379 a apărut, de asemenea, ca fiind unul dintre cele mai exploatate defecte în 2020, potrivit unei liste întocmite de agențiile de informații din Australia, Marea Britanie și SUA la începutul acestui an.

Ca urmare a acestei scurgeri, Fortinet recomandă companiilor să dezactiveze imediat toate VPN-urile, să actualizeze dispozitivele la FortiOS 5.4.13, 5.6.14, 6.0.11 sau 6.2.8 și versiunile ulterioare, după care să inițieze resetarea parolelor la nivelul întregii organizații, avertizând că „puteți rămâne vulnerabil după actualizare dacă credențialele utilizatorilor dvs. au fost compromise anterior”.

Sursa: The Hacker News