I gestori di VPN Fortinet farebbero bene a forzare un reset delle password: ci sono 500.000 credenziali in chiaro sul dark web e alcune sono ancora valide.
Autore: Redazione SecurityOpenLab
Un cyber criminale ha pubblicato su un forum del dark web un elenco di quasi 500.000 credenziali (nomi utente e password) di VPN Fortinet. Stando a quanto sostiene, sarebbe il bottino di furti avvenuti in estate. Una informazione rilevante riguarda le potenzialità di sfruttamento di queste credenziali: stando a quanto pubblicizzato, molte sono ancora valide, anche se la vulnerabilità che è stata sfruttata per entrarne in possesso è stata chiusa.
Quanto sta accadendo è molto grave, e purtroppo è frequente. Le suddette credenziali VPN potrebbero consentire agli attaccanti di accedere alle reti aziendali, esfiltrare dati, installare malware ed eseguire attacchi ransomware. Inoltre, questo episodio è un'ennesima riconferma del modo di lavorare del cyber crime e dell'importanza di un continuo monitoraggio di quanto avviene nel dark web.
A postare l'elenco in chiaro delle credenziali VPN Fortinet è stato Orange, un cyber criminale che è anche l'amministratore del neonato forum di hacking RAMP. In passato Orange è stato un operatore del collettivo ransomware Babuk, da cui si è separato per unirsi all'esordiente ransomware Groove. Ecco il motivo per il quale lo stesso link al file con le credenziali VPN Fortinet è presente sia sul forum sopraccitato, sia sul nuovo sito di rivendicazione del collettivo ransomware Groove.ù
Quanto al contenuto, sembrerebbe che il criminale informatico non abbia mentito. I colleghi di BleepingComputer hanno appurato che il file mostra contiene le credenziali VPN di 498.908 utenti su 12.856 dispositivi. Gli indirizzi IP di questi ultimi puntano effettivamente a server VPN Fortinet dislocati in tutto il mondo.
Non è dato sapere quante delle credenziali siano ancora valide, ma AdvIntel ne ha controllate alcune a campione e conferma che sono tuttora operative. È quindi imperativo che i clienti di VPN Fortinet provvedano a forzare un reset di tutte le password: meglio presumere che tutte le credenziali esposte siano valide e prendere precauzioni, piuttosto che dare per scontato di essere al sicuro e dover fronteggiare gravi problemi in seguito. A scanso di equivoci, sarebbe inoltre buona prassi monitorare i registri per verificare possibili intrusioni.
I ricercatori di sicurezza hanno appurato che le credenziali in questione sono state sottratte sfruttando lavulnerabilità Fortinet monitorata con la sigla CVE-2018-13379. È una vecchia falla ormai chiusa delle Fortinet FortiGate SSL VPN che eseguono le versioni FortiOS comprese fra la 6.0.0 e la 6.0.4, fra la 5.6.3 e la 5.6.7 e fra la 5.4.6 e la 5.4.12. È già stata ampiamente sfruttata per attaccareistituzioni (anche italiane),diverse aziendee più di recente per scatenareattacchi con il ransomware Cring, e le patch sono disponibili da tempo.
Il problema è che se la falla è stata chiusa, ma le password rubate non sono state cambiate, possono ancora essere usate per sferrare attacchi. Viene da chiedersi per quale motivo Orange non abbia usato per sé questo patrimonio, oppure non l'abbia messo in vendita per trarne profitto.
Secondo gli esperti di AdvIntel, Orange ha optato per la gratuità con il fine di promuovere il suo forum di hacking e di attirare affiliati per Groove, che è un ransomware-as-a-service esordiente con un solo attacco all'attivo, quindi necessita di crescere.
L'azienda ha emesso la seguente nota uffiale a commento di questa notizia: “La sicurezza dei nostri clienti è la nostra priorità. Fortinet è a conoscenza del fatto che un malintenzionato ha divulgato le credenziali SSL-VPN per accedere ai dispositivi FortiGate SSL-VPN. Le credenziali sono state ottenute da sistemi su cui non è ancora stata installata la patch fornita a maggio 2019.
Da maggio 2019 Fortinet ha costantemente comunicato con i clienti sollecitando l'implementazione delle misure di mitigazione, e ha pubblicato una serie di post sul blog aziendale nell'agosto 2019, luglio 2020, aprile 2021 e giugno 2021. Pubblicheremo un altro alert per sollecitare i clienti a installare il prima possibile l'aggiornamento della patch e a eseguire il reset delle password".