Un grupo de delincuentes informáticos ha filtrado los archivos de configuración, las direcciones IP y las credenciales de VPN de más de 15.474 dispositivos FortiGate de forma gratuita , lo que expone una gran cantidad de información técnica confidencial a otros cibercriminales.
Actualización: lista completa separada por país/ciudad.
Los datos fueron filtrados por el "Grupo Belsen", que apareció por primera vez en las redes sociales y en los foros de ciberdelincuencia este mes. Para promocionarse, el grupo ha creado un sitio web en TOR donde publicaron el volcado de datos de FortiGate de forma gratuita para que lo usen otros actores de amenazas.
La filtración de FortiGate consta de un archivo de 1,6 GB que contiene carpetas ordenadas por país. Cada carpeta contiene subcarpetas adicionales para cada dirección IP de FortiGate en ese país.
Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un configuration.conf (volcado de configuración de Fortigate) y un archivo vpn-passwords.txt, con algunas de las contraseñas en texto sin formato. Las configuraciones también contienen información confidencial, como claves privadas y reglas de firewall.
- Usernames
- Passwords (some in plain text)
- Device management digital certificates
- All firewall rules
En una publicación de blog sobre la filtración de FortiGate, Beaumont dice que se cree que la filtración está vinculada a un Zero-Day de 2022 identificado como CVE-2022–40684 que se explotó en ataques antes de que se lanzara una solución.
En 2022, Fortinet advirtió que los actores de amenazas estaban explotando una vulnerabilidad de día cero identificada como CVE-2022–40684 para descargar archivos de configuración de dispositivos FortiGate específicos y luego agregar una cuenta super_admin maliciosa llamada "fortigate-tech-support".
El sitio de noticias alemán Heise analizó la filtración de datos y también dijo que se recopiló en 2022, y que todos los dispositivos utilizaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2. "No encontramos ninguna versión de FortiOS en el conjunto de datos que fuera más reciente que la versión 7.2.2, lanzada el 3 de octubre de 2022".
Sin embargo, FortiOS 7.2.2 corrigió la falla CVE-2022–40684, por lo que no estaría claro cómo los dispositivos que ejecutan esa versión podrían ser explotados con esta vulnerabilidad.
A pesar de que estos archivos de configuración se recopilaron en 2022, Beaumont advierte que aún exponen mucha información confidencial sobre las defensas de una red. Esto incluye reglas de firewall y credenciales que, si no se cambiaron en ese momento, deberían cambiarse inmediatamente ahora que los datos se han publicado para un grupo más amplio de actores de amenazas.
ACTUALIZACIÓN: si quieres los datos de las IP sin procesar, están disponibles aquí.
Fuente: BC