Hackers διέρρευσαν τα αρχεία διαμόρφωσης, τις διευθύνσεις IP και τα VPN credentials για περισσότερες από 15.000 συσκευές FortiGate στο dark web. Οι πληροφορίες προσφέρονται δωρεάν και επιτρέπουν σε δεκάδες άλλους εγκληματίες να αποκτήσουν πρόσβαση σε ευαίσθητες τεχνικές πληροφορίες.

Τα δεδομένα διέρρευσαν από την “Belsen Group“, μια νέα ομάδα hacking που εμφανίστηκε στα μέσα κοινωνικής δικτύωσης και σε εγκληματικά φόρουμ αυτόν τον μήνα. Η ομάδα έχει δημιουργήσει έναν ιστότοπο Tor, στον οποίο κυκλοφόρησε δωρεάν τα δεδομένα FortiGate, για χρήση από άλλους παράγοντες απειλών.
“Στην αρχή του έτους, για να γίνει μια θετική αρχή για εμάς και προκειμένου να εδραιωθεί το όνομα της ομάδας μας στη μνήμη σας, σας ανακοινώνουμε περήφανα την πρώτη επίσημη λειτουργία μας: Θα δημοσιευθούν ευαίσθητα δεδομένα από περισσότερους από 15.000 στόχους σε όλο τον κόσμο (τόσο στον κυβερνητικό όσο και στον ιδιωτικό τομέα) που έχουν παραβιαστεί και τα δεδομένα τους έχουν κλαπεί“, αναφέρεται σε μια ανάρτηση στο hacking φόρουμ.
Δείτε επίσης: Fortinet: Zero-day ευπάθεια χρησιμοποιείται για παραβίαση firewalls
Η διαρροή στοιχείων FortiGate αποτελείται από ένα αρχείο 1,6 GB που περιέχει φακέλους ταξινομημένους ανά χώρα. Κάθε φάκελος περιέχει επιπλέον υποφακέλους για κάθε διεύθυνση IP του FortiGate στη συγκεκριμένη χώρα.
Ο ειδικός κυβερνοασφάλειας Kevin Beaumont, που εξέτασε τα δεδομένα, παρατήρησε ότι κάθε διεύθυνση IP έχει ένα configuration.conf (Fortigate config dump) και ένα αρχείο vpn-passwords.txt. Μερικοί από τους κωδικούς πρόσβασης είναι σε απλό κείμενο. Έχουν, επίσης, εκτεθεί ευαίσθητες πληροφορίες, όπως ιδιωτικά κλειδιά και firewall rules.
Ο Beaumont λέει ότι η διαρροή μπορεί να συνδέεται με μια zero-day ευπάθεια που είχε ανακαλυφθεί το 2022 και παρακολουθείται ως CVE-2022–40684. Η ευπάθεια είχε χρησιμοποιηθεί σε επιθέσεις προτού κυκλοφορήσει μια ενημέρωση.
“Έκανα incident response σε μία συσκευή σε έναν οργανισμό-θύμα και η εκμετάλλευση έγινε πράγματι μέσω του CVE-2022–40684. Μπόρεσα επίσης να επαληθεύσω ότι τα ονόματα χρήστη και ο κωδικός πρόσβασης που εμφανίζονται στα εκτεθειμένα δεδομένα, αντιστοιχούν σε λεπτομέρειες για τη συσκευή“, εξηγεί ο Beaumont.
“Τα δεδομένα FortiGate φαίνεται να έχουν συγκεντρωθεί τον Οκτώβριο του 2022, ως zero day vuln. Για κάποιο λόγο, κυκλοφορήσαν τώρα, λίγο περισσότερο από 2 χρόνια αργότερα“.
Δείτε επίσης: Fortinet: Ευπάθεια χρησιμοποιείται για εγκατάσταση λογισμικού απομακρυσμένης πρόσβασης
Ο γερμανικός ειδησεογραφικός ιστότοπος Heise ανέλυσε, επίσης, τη διαρροή δεδομένων και επιβεβαίωσε ότι συλλέχθηκαν το 2022, με όλες τις συσκευές να χρησιμοποιούν FortiOS firmware 7.0.0-7.0.6 ή 7.2.0-7.2.2.

Παρόλο που αυτά τα αρχεία διαμόρφωσης συλλέχθηκαν το 2022, ο Beaumont προειδοποιεί ότι εξακολουθούν να εκθέτουν πολλές ευαίσθητες πληροφορίες σχετικά με τις άμυνες ενός δικτύου.
Έχουν εκτεθεί firewall rules και credentials, τα οποία πρέπει να αλλάξουν αμέσως (αν δεν είχε γίνει αλλαγή όταν εμφανίστηκε πρώτη φορά η ευπάθεια).
Ο Beaumont λέει ότι σχεδιάζει να κυκλοφορήσει μια λίστα με τις διευθύνσεις IP στη διαρροή, ώστε οι διαχειριστές του FortiGate να μπορούν να γνωρίζουν εάν η διαρροή τους επηρέασε.
Αυτή η παραβίαση ενέχει σημαντικό κίνδυνο ασφάλειας, καθώς τα VPN credentials που διέρρευσαν θα μπορούσαν να επιτρέψουν μη εξουσιοδοτημένη πρόσβαση σε εταιρικά δίκτυα, οδηγώντας ενδεχομένως σε περαιτέρω κλοπή δεδομένων ή επιθέσεις ransomware. Οι ειδικοί σε θέματα ασφάλειας προτρέπουν τους επηρεαζόμενους οργανισμούς να δράσουν γρήγορα αλλάζοντας όλα τα credentials που έχουν παραβιαστεί, ενημερώνοντας το firmware της συσκευής και εφαρμόζοντας πρόσθετα μέτρα ασφαλείας για τον μετριασμό των κινδύνων. Επιπλέον, αυτό το περιστατικό υπογραμμίζει τη σημασία των ισχυρών πρακτικών ασφάλειας στον κυβερνοχώρο, συμπεριλαμβανομένων των τακτικών ελέγχων και των σαρώσεων για ευπάθειες. Χρησιμεύει επίσης ως υπενθύμιση για τους οργανισμούς να διαθέτουν ισχυρά σχέδια αντιμετώπισης περιστατικών για να ανταποκρίνονται γρήγορα και αποτελεσματικά σε παραβιάσεις δεδομένων.
Δείτε επίσης: Ευπάθειες της Fortinet επιτρέπουν σε hackers την απομακρυσμένη εκτέλεση κώδικα
Αξίζει να σημειωθεί ότι δεν πρόκειται για μεμονωμένο περιστατικό – παρόμοιες παραβιάσεις έχουν συμβεί στο παρελθόν με άλλες συσκευές και εταιρείες. Αυτό χρησιμεύει ως υπενθύμιση για τους οργανισμούς όχι μόνο να ασφαλίζουν τα δικά τους δίκτυα, αλλά και να γνωρίζουν πιθανές απειλές και τρωτά σημεία στα προϊόντα που χρησιμοποιούν (π.χ. FortiGate συσκευές).
πηγή: www.bleepingcomputer.com