Hackers filtran configuraciones y credenciales de VPN de dispositivos FortiGate

Iniciado por AXCESS, Enero 16, 2025, 01:16:35 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 16, 2025, 01:16:35 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo grupo de piratas informáticos ha filtrado los archivos de configuración, las direcciones IP y las credenciales de VPN de más de 15.000 dispositivos FortiGate de forma gratuita, lo que expone una gran cantidad de información técnica confidencial a otros cibercriminales.

Los datos fueron filtrados por el "Grupo Belsen", un nuevo grupo de piratas informáticos que apareció por primera vez en las redes sociales y en los foros de ciberdelincuencia este mes. Para promocionarse, el Grupo Belsen ha creado un sitio web en Tor donde publicaron el volcado de datos de FortiGate de forma gratuita para que lo usen otros actores de amenazas.

"A principios de año, y como un comienzo positivo para nosotros, y con el fin de solidificar el nombre de nuestro grupo en su memoria, estamos orgullosos de anunciar nuestra primera operación oficial: se publicarán datos confidenciales de más de 15.000 objetivos en todo el mundo (tanto del sector gubernamental como privado) que han sido pirateados y sus datos extraídos", se lee en una publicación en un foro de piratería.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La filtración de FortiGate consta de un archivo de 1,6 GB que contiene carpetas ordenadas por país. Cada carpeta contiene subcarpetas adicionales para cada dirección IP de FortiGate en ese país.

Carpeta de direcciones IP para dispositivos FortiGate y sus configuraciones
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un configuration.conf (volcado de configuración de Fortigate) y un archivo vpn-passwords.txt, con algunas de las contraseñas en texto sin formato. Las configuraciones también contienen información confidencial, como claves privadas y reglas de firewall.

En una publicación de blog sobre la filtración de FortiGate, Beaumont dice que se cree que la filtración está vinculada a un día cero de 2022 identificado como CVE-2022–40684 que se explotó en ataques antes de que se lanzara una solución.

"He respondido a incidentes en un dispositivo en una organización víctima y la explotación se produjo efectivamente a través de CVE-2022–40684 en función de los artefactos del dispositivo. También he podido verificar que los nombres de usuario y la contraseña que se ven en el volcado coinciden con los detalles del dispositivo", explica Beaumont.

"Los datos parecen haber sido recopilados en octubre de 2022, como una vulnerabilidad de día cero. Por alguna razón, el volcado de datos de configuración se publicó hoy, poco más de dos años después".

En 2022, Fortinet advirtió que los actores de amenazas estaban explotando una vulnerabilidad de día cero identificada como CVE-2022–40684 para descargar archivos de configuración de dispositivos FortiGate específicos y luego agregar una cuenta super_admin maliciosa llamada 'fortigate-tech-support'.

Ataque CVE-2022-40684 que agrega la cuenta de administrador no autorizada
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El sitio de noticias alemán Heise analizó la filtración de datos y también dijo que se recopiló en 2022, y que todos los dispositivos utilizaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2.

"Todos los dispositivos estaban equipados con FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2, la mayoría con la versión 7.2.0. No encontramos ninguna versión de FortiOS en el conjunto de datos que fuera más reciente que la versión 7.2.2, lanzada el 3 de octubre de 2022", informó Heise.

Sin embargo, FortiOS 7.2.2 corrigió la falla CVE-2022–40684, por lo que no estaría claro cómo los dispositivos que ejecutan esa versión podrían ser explotados con esta vulnerabilidad.

A pesar de que estos archivos de configuración se recopilaron en 2022, Beaumont advierte que aún exponen mucha información confidencial sobre las defensas de una red.

Esto incluye reglas de firewall y credenciales que, si no se cambiaron en ese momento, deberían cambiarse inmediatamente ahora que los datos se han publicado para un grupo más amplio de actores de amenazas.

Beaumont dice que planea publicar una lista de las direcciones IP en la filtración para que los administradores de FortiGate puedan saber si la filtración los afectó.

BleepingComputer también se comunicó con los actores de amenazas y Fortinet con preguntas sobre la filtración y actualizará la historia si recibimos una respuesta.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario