El proveedor de opciones de seguridad comunitaria, Fortinet, confirmó que aparentemente un actor malintencionado había revelado sin autorización nombres de inicio de sesión de VPN y contraseñas relacionadas con 87.000 dispositivos FortiGate SSL-VPN.

La divulgación se produce después de que el actor amenazante, que se conoce con el sobrenombre de “Orange”, filtró un inventario de credenciales de Fortinet sin costo en un nuevo foro de discusión de la red obscura de habla rusa conocido como RAMP, además del sitio web de filtración de conocimientos de Groove ransomware, con Superior Intel señalando que el “ El récord de violación permite la entrada sin cocinar a las corporaciones más importantes ”que abarcan 74 países, junto con India, Taiwán, Italia, Francia e Israel. “2.959 de veintidós, 500 víctimas son entidades estadounidenses”, mencionaron los investigadores.

Se cree que las cuentas se han visto comprometidas a través de una vulnerabilidad descubierta previamente en el producto. En abril, las agencias federales advirtieron sobre múltiples fallas de seguridad en la VPN de Fortinet que podrían permitir el acceso de piratas informáticos. Desde entonces, la compañía ha recibido parches para esas fallas de seguridad, aunque aparentemente eso no impidió que muchos usuarios tuvieran la información de su cuenta comprometida.

Según una investigación de la firma de seguridad Advanced Intel , se cree que Orange es miembro de la banda de ransomware “Groove”. Se dice que también han trabajado anteriormente para Babuk, una prominente banda de ransomware que intentó extorsionar al departamento de policía metropolitana de Washington DC por millones de dólares a principios de este año.

CVE-2018-13379 pertenece a una vulnerabilidad de recorrido de ruta dentro del portal de red FortiOS SSL VPN, que permite a atacantes no autenticados conocer datos de registros arbitrarios del sistema, junto con el archivo de sesión, que aloja nombres de usuario y contraseñas guardados en texto sin formato.

Aunque el error se corrigió en mayo de 2019, el punto débil de seguridad ha sido explotado repetidamente por varios adversarios para implementar una variedad de cargas útiles maliciosas en dispositivos sin parche, lo que llevó a Fortinet a dificultar una colección de advertencias en agosto de 2019 , julio de 2020 , abril de 2021 y una vez más en junio de 2021 , instando a los clientes a mejorar los equipos domésticos afectados.

CVE-2018-13379 también surgió como una de las fallas más explotadas en 2020, de acuerdo con un inventario compilado por empresas de inteligencia en Australia, el Reino Unido y los EE. UU. A principios de este año.

Si en algún momento su organización estaba ejecutando una versión afectada que figura en el aviso original, Fortinet recomienda tomar inmediatamente los siguientes pasos para asegurarse de que no se abuse de sus credenciales.

• Desactive todas las VPN (SSL-VPN o IPSEC) hasta que se hayan realizado los siguientes pasos de corrección.

• Actualice inmediatamente los dispositivos afectados a la última versión disponible, como se detalla a continuación.

• Trate todas las credenciales como potencialmente comprometidas al realizar un restablecimiento de contraseña en toda la organización.

• Implemente la autenticación multifactor, que ayudará a mitigar el abuso de cualquier credencial comprometida, tanto ahora como en el futuro.

• Notifique a los usuarios para que expliquen el motivo del restablecimiento de la contraseña y supervise servicios como HIBP para su dominio. Existe la posibilidad de que, si las contraseñas se han reutilizado para otras cuentas, se puedan utilizar en ataques de relleno de credenciales .

Actualización recomendada: