Un grupo de delincuentes informáticos ha filtrado los archivos de
configuración, las direcciones IP y las credenciales de VPN de más de 15.474
dispositivos FortiGate de forma gratuita , lo que expone una gran cantidad de
información técnica confidencial a otros cibercriminales.
Los datos fueron filtrados por el «Grupo Belsen», que apareció por
primera vez en las redes sociales y en los foros de ciberdelincuencia este
mes. Para promocionarse, el grupo ha creado un sitio web en TOR donde
publicaron el volcado de datos de FortiGate de forma gratuita para que lo usen
otros actores de amenazas.
La filtración de FortiGate consta de un archivo de 1,6 GB que contiene
carpetas ordenadas por país.
Cada carpeta contiene subcarpetas adicionales para cada dirección IP de
FortiGate en ese país.
Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un
configuration.conf (volcado de configuración de Fortigate) y un archivo
vpn-passwords.txt, con algunas de las contraseñas en texto sin formato.
Las configuraciones también contienen información confidencial, como claves
privadas y reglas de firewall.
- Usernames
- Passwords (some in plain text)
- Device management digital certificates
- All firewall rules
En una
publicación de blog sobre la filtración de FortiGate, Beaumont dice que se cree que la filtración está vinculada a un Zero-Day de
2022 identificado como
CVE-2022–40684
que se explotó en ataques antes de que se lanzara una solución.
En 2022, Fortinet advirtió que los actores de amenazas estaban explotando una
vulnerabilidad de día cero identificada como CVE-2022–40684 para descargar
archivos de configuración de dispositivos FortiGate específicos y luego
agregar una cuenta super_admin maliciosa llamada
«fortigate-tech-support».
El sitio de noticias alemán
Heise analizó la filtración de datos
y también dijo que se recopiló en 2022, y que todos los dispositivos
utilizaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2.
«No encontramos ninguna versión de FortiOS en el conjunto de datos que
fuera más reciente que la versión 7.2.2, lanzada el 3 de octubre de 2022».
Sin embargo, FortiOS 7.2.2 corrigió la falla CVE-2022–40684, por lo que no
estaría claro cómo los dispositivos que ejecutan esa versión podrían ser
explotados con esta vulnerabilidad.
A pesar de que estos archivos de configuración se recopilaron en 2022,
Beaumont advierte que aún exponen mucha información confidencial sobre las
defensas de una red. Esto incluye reglas de firewall y credenciales que, si no
se cambiaron en ese momento, deberían cambiarse inmediatamente ahora que los
datos se han publicado para un grupo más amplio de actores de amenazas.
Beaumont dice que planea publicar una lista de las direcciones IP en la
filtración para que los administradores de FortiGate puedan saber si la
filtración los afectó.
En 2021, un actor de amenazas filtró casi 500.000 credenciales de VPN de
Fortinet que se recopilaron mediante la vulnerabilidad CVE-2018-13379.
Fuente:
BC