Actualización de vulnerabilidad Fortinet VPN - CVE-2018-13379

En el año 2018, un grupo connotado de investigadores perteneciente al grupo de consutoría de seguridad "DEVCORE", efectuaron un análisis de vulnerabilidades de SSL VPN motivados por la popularidad que esta iba ganando respectro a su utilización por las empresas en comparación con otro tipo de tecnologías como site-to-site VPN (IPSEC / PPTP).

Investigadores de la vulnerabilidad:
Meh Chang(@mehqq_)  &  Orange Tsai(@orange_8361)

Según estadísticas de los mismos investigadores, el TOP 5 de proveedores de SSL VPN tiene alrededor del 75% del mercado, por lo que encontrar una vulnerabilidad crítica en ellos supone un gran impacto a nivel global entendiendo que el ethos de este tipo de tecnología involucra que deben estar expuestas en Internet. Como resultado de la investigación, lograron identificar un conjunto de vulnerabilidades que afectaban a Fortigate SSL VPN, las cuales fueron informadas en noviembre de 2018 a la organización.

El 19 de marzo de 2019, Fortinet informó sobre la fecha de liberación de parches la cual se cumpliría el 24 de mayo del mismo año [comunicado oficial]. Ya contando con una solución que mitigaba el conjunto de vulnerabilidades, el grupo de investigadores decidió publicar los detalles de su investigación en la conferencia BlackHat 2019 en Las Vegas, Estados Unidos. Desde esa fecha y durante los años venideros, hemos observado una explotación activa de estos CVE por parte de diversos ciberactores, como también leaks de credenciales puestas en venta a través de foros de mercado negro en Internet.

- Ataques continuos de grupos APT a VPN vulnerables (octubre 2019)
- Campaña Fox Kitten vulnera conexiones VPN de Fortinet, Palo Alto y Pulse Secure (febrero 2020)
- Incremento en campañas que explotan vulnerabilidades de VPN (febrero 2021)
- Se reactivan campañas de explotación de vulnerabilidades en VPN (abril 2021)
- APTs explotan vulnerabilidades conocidas para comprometer redes estadounidenses y aliadas (abril 2021)
- Múltiples vulnerabilidades en productos Fortinet continuan siendo explotadas (junio 2021)
- Ciberactores publican ~500.000 credenciales Forti VPN (septiembre 2021)
- Las vulnerabilidades más explotadas durante 2021 (abril 2022)
- ENTEL Weekly Threat Intelligence Brief del 30 de mayo al 05 de junio de 2022 (junio 2022)

Algunos leaks evidenciados en foros de mercado negro:

Panorama en Chile

Han transcurrido 10 meses desde el último leak que mantenía ~250 IP chilenas comprometidas. No obstante a la fecha, hemos efectuado una investigación que nos revela al menos 149 IP expuestas a Internet aún vulnerables a CVE-2018-13379. Respecto a esta investigación, hemos ampliado el alcance de puertos sin restringirnos netamente a 10443 y 443, obteniendo los siguientes resultados:

Esto supone un escenario desalentador, ya que tal como hemos evidenciado en 2021, las estadísticas respecto a la carencia de políticas de parcheado y la mala priorización de mitigación de vulnerabilidades críticas dejan expuesta la principal entrada a los datos de las organizaciones.

Es por ello que hemos notificado a @CSIRTGob CL

Sobre la vulnerabilidad CVE-2018-13379:

Vulnerabilidad relativa a productos Fortinet SSL VPN, que permite a un atacante no autenticado acceder al listado de credenciales de los últimos usuarios que han iniciado sesión en el sistema. Esto se logra sin mayor complejidad al generar una solicitud por el método GET directamente a una ruta específica que responde con la visualización de archivos del sistema, técnica conocida como "Path Traversal".

Algunos investigadores lograron combinar CVE-2018-13379 + CVE-2018-13383, permitiendo a los atacantes filtrar el archivo de sesión con las credenciales en texto plano para acceder a la red interna y luego abrir una shell al explotar una vulnerabilidad de buffer overflow.

Quedan muchas interrogantes, ¿cómo una vulnerabilidad tan crítica, parcheada en 2019, aún está presente en Chile?, ¿cómo logramos generar mayor conciencia a las organizaciones respecto a los controles de ciberseguridad?, ¿tenemos que sufrir un incidente disruptivo para el negocio, a fin de tomar conciencia real sobre el panorama de amenazas?

Si miramos organismos internacionales como la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA, por sus siglas en inglés). A fines de agosto de 2021, agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas" que podrían exponer la infraestructura crítica, así como las entidades gubernamentales y del sector privado, a ataques cibernéticos devastadores.

La autenticación de múltiples factores (MFA) utiliza diferentes tecnologías para autenticar la identidad de un usuario. En cambio, la autenticación de un solo factor utiliza una sola tecnología para probar la autenticidad del usuario. Con el MFA, los usuarios deben combinar tecnologías de verificación de al menos dos grupos o factores de autenticación diferentes. Estos factores se dividen en tres categorías: algo que conoces, algo que tienes y algo que eres.

Fortinet

Actualmente existen cerca de 7.600 dispositivos expuestos a internet en Chile y más de 1.200.000 alrededor del mundo de los cuales aún un gran número se encuentra vulnerable, mientras el volumen existente de productos fortinet se mantiene en constante aumento.

Si bien la implementación de nuevos dispositivos continúa en aumento es importante destacar que los nuevos sistemas agregados a la red deberían de acuerdo a buenas prácticas, ser desplegados con versiones ya parchadas por el fabricante.

Explotación activa

Para esta vulnerabilidad existen diversos exploit y plugins de nmap que permiten generar escaneos individuales o masivos a ip o listas de ellas, donde se alojen estos servicios e indicar con gran precisión si se encuentra o no vulnerable, de esta misma forma también es posible extraer las credenciales expuestas.

Dentro de esta misma línea, recientemente se ha descubierto que actualmente existe un APT  de origen Iraní llamado “Phosphorus” que se encuentran explotando masivamente esta vulnerabilidad, junto a ProxyShell y Log4J para vulnerar las redes de sus víctimas.

Por otra parte de acuerdo a menciones obtenidas de RRSS se evidencia además que aún existen ataques a organizaciones utilizando esta vulnerabilidad y que incluso ha sido parte del arsenal de grupos de ransomware dado el fácil acceso a la información y el bajo nivel de sofisticación para lograrlo.

Además también se ha identificado esta vulnerabilidad como una de las más críticas y más explotadas del 2021 según CISA

A continuación un gráfico que indica la evolución de las menciones de este CVE en RRSS desde el año 2020 a la fecha

Para mayores antecedentes sobre este CVE, es posible revisar boletines pasados:

• ENTEL Weekly Threat Intelligence Brief del 30 de mayo al 05 de junio de 2022
• Las vulnerabilidades más explotadas durante 2021

Panorama

Fortinet es un producto utilizado ampliamente en organizaciones de todo el mundo, sin embargo no todas ellas cuentan con políticas de seguridad adecuadas que permitan mitigar vulnerabilidades oportunamente, ya sea por baja concientización o por escasez de recursos para ejecutar estas tareas constantemente ya sea porque la organización no cuenta con un administrador enfocado en esta tarea o porque derechamente no existen colaboradores que permitan mantener sistemas actualizados, optando por realizar estas tareas mediante externalización del servicio ecada vez que se requiera.

Casos como esto trae a la memoria vulnerabilidades como Freak, HeartBleed o  eternal blue que pese a su gran criticidad y luego de más de 5 años desde su descubrimiento, aún existen dispositivos vulnerables en internet que se ven reducidos escasamente con el pasar de los años, sugiriendo que esos equipos probablemente no sean parchados nunca.

Si bien es esperable que existan este tipo de casos con la vulnerabilidad de VPN fortigate, no será remediado en su totalidad  hasta que los responsables de los servicios comprendan y se alineen con estándares de políticas de seguridad globales, por lo que la principal piedra de tope radica en la educación y no únicamente en el parchado oportuno ya que sin el primero, jamas existira el segundo.

Se recomienda lo siguiente:

• Habilitar Doble factor de autenticación siempre que sea posible
• Mantener listas blancas para usuarios que se conecten a la VPN, ya sea directamente con sus IP domiciliarias o a través de un pivote.
• Mantener ciclos de actualización constante que permitan identificar vulnerabilidades a medida que sean publicadas por sus fabricantes.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.