Ciberactores publican 500.000 credenciales Forti VPN

09 Septiembre 2021
Alto

Tal como hemos advertido en boletines previos (“Se reactivan campañas de explotación de vulnerabilidades en VPN” y “Incremento en campañas que explotan vulnerabilidades de VPN”) existen campañas presentes en Latino América que se encuentran activas desde al menos los últimos cuatro años con incidentes esporádicos que buscan explotar vulnerabilidades presentes en VPN de organizaciones alrededor del mundo debido a su masiva alza tras implementación de teletrabajo.

En foros de la red TOR ha sido publicada una lista con aproximadamente 500.000 credenciales filtradas, contenidas en aproximadamente 12850 documentos categorizados por país e IP que han sido extraídas durante la explotación de CVE-2018-13379 en dispositivos VPN Fortinet.

Filtración

La publicación inicial fue realizada en un foro de habla rusa,  la cual redirige a un website ajeno perteneciente a banda de Ransomware en el mismo idioma surgida recientemente. Pese a presentar baja cantidad de publicaciones, la información de estas es de alta criticidad apuntado en una de ellas a la extorsión de gobiernos políticamente expuestos

Si bien los documentos han sido recientemente alojados en servidores con fecha 08 de septiembre del 2021 se identifica que la creación de los archivos corresponde aproximadamente a un mes atrás. 

Es importante aclarar que las credenciales han sido extraídas con anterioridad y solo consolidadas en esta fecha.

Panorama Nacional

Existen 459 documentos pertenecientes a organizaciones nacionales de diferentes rubros del sector público y privado. Si bien la fecha de los documentos no es lejana, aún no existe claridad del momento de la explotación de los dispositivos, ya que si bien el CVE fue registrado el 2018, desde diferentes fuentes se apunta a que las credenciales han sido sustraídas durante verano 2020-2021 sin descartar que esta haya sido una técnica de los foros involucrados para ganar popularidad debido a su reciente creación (2021).

Es necesario mencionar que tal vulnerabilidad ya se encuentra mitigada para la mayoría de las organizaciones publicadas lo que no evita que sus credenciales puedan continuar vigentes, por lo que de igual manera es necesario realizar un reset de credenciales para cada usuario contenido en el dispositivo.

CVE-2018-13379

Una vulnerabilidad de path traversal en el portal web de FortiOS SSL VPN puede permitir a un atacante no autenticado descargar archivos del sistema FortiOS a través de solicitudes de recursos HTTP especialmente diseñadas.

Fortinet es consciente de que un actor malicioso ha revelado información de acceso a SSL-VPN de dispositivos FortiGate SSL-VPN de sistemas que no estaban parcheados al momento del escaneo de los ciberactores, sin embargo pueden haber sido parchados posteriormente sin hacer cambio de credenciales, siendo aún vulnerables a accesos no autorizados.

Apreciación

La principal criticidad de esta publicación radica en la capacidad disruptiva para las organizaciones una vez obtenido el acceso, permitiendo que los atacantes pueden realizar escalamiento de privilegios, movimientos laterales y crear conexiones para la filtración de información sin requerir de grandes habilidades técnicas.

Tal como se ha mencionado en un comienzo, esta vulnerabilidad fue advertida oportunamente sin embargo es altamente recomendable validar versiones de dispositivos involucrados y tomar medidas mitigatorias como el reset de credenciales de usuarios a la brevedad posible.

Además, es necesario aplicar parches a vulnerabilidades publicadas día a día con fin de restringir al máximo la ventana de tiempo para su explotación por ciberactores, los cuales se encuentran al tanto de los panoramas mundiales o incluso pudiendo llegar a obtener la información previo a la publicación oficial de parches por parte de fabricante.

El listado de las CVE se adjunta a continuación:


Tags: #Fortinet #Vulnerabilidad #CVE-2018-13379 #Parche #Leaks
  • Productos Afectados
  • Producto Versión
    FortiOS 6.0 6.0.0 hasta 6.0.4
    5.6


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.