El proveedor de soluciones de seguridad de red Fortinet confirmó que un actor malicioso había revelado sin autorización los nombres de inicio de sesión de VPN y las contraseñas asociadas a 87.000 dispositivos FortiGate SSL-VPN.
«Estas credenciales se obtuvieron de sistemas que permanecían sin parchear contra CVE-2018-13379 en el momento de la exploración del actor. Aunque pueden haber sido parcheados desde entonces, si las contraseñas no fueron restablecidas, siguen siendo vulnerables», dijo la compañía en un comunicado el miércoles.
La revelación se produce después de que el actor de la amenaza filtrara una lista de credenciales de Fortinet de forma gratuita en un nuevo foro de habla rusa llamado RAMP que se puso en marcha en julio de 2021, así como en el sitio de filtración de datos del ransomware Groove, y Advanced Intel señaló que la «lista de infracciones contiene el acceso en bruto a las principales empresas» que abarcan 74 países, incluyendo India, Taiwán, Italia, Francia e Israel. «2.959 de las 22.500 víctimas son entidades estadounidenses», dijeron los investigadores.
CVE-2018-13379 se refiere a una vulnerabilidad de path traversal en el portal web de FortiOS SSL VPN, que permite a los atacantes no autenticados leer archivos arbitrarios del sistema, incluido el archivo de sesión, que contiene nombres de usuario y contraseñas almacenados en texto plano.
Aunque el error fue rectificado en mayo de 2019, la debilidad de seguridad ha sido explotada repetidamente por múltiples adversarios para desplegar una serie de cargas útiles maliciosas en dispositivos no parcheados, lo que llevó a Fortinet a publicar una serie de avisos en agosto de 2019, julio de 2020, abril de 2021 y nuevamente en junio de 2021, instando a los clientes a actualizar los dispositivos afectados.
CVE-2018-13379 también surgió como una de las principales fallas más explotadas en 2020, según una lista compilada por las agencias de inteligencia de Australia, el Reino Unido y los Estados Unidos a principios de este año.
A la luz de la filtración, Fortinet está recomendando a las empresas que deshabiliten inmediatamente todas las VPN, actualicen los dispositivos a FortiOS 5.4.13, 5.6.14, 6.0.11, o 6.2.8 y superiores, seguido de iniciar un restablecimiento de la contraseña en toda la organización, advirtiendo que «puede seguir siendo vulnerable después de la actualización si las credenciales de sus usuarios fueron comprometidas previamente.»
