Hackers vazam configurações e credenciais VPN para 15.000 dispositivos FortiGate

 


Um novo grupo de hackers vazou gratuitamente os arquivos de configuração, endereços IP e credenciais VPN de mais de 15.000 dispositivos FortiGate na dark web, expondo uma grande quantidade de informações técnicas confidenciais a outros cibercriminosos.

Os dados foram vazados pelo “Grupo Belsen”, um novo grupo de hackers que apareceu pela primeira vez nas redes sociais e em fóruns de crimes cibernéticos este mês. Para se promover, o Grupo Belsen criou um site Tor onde liberou gratuitamente o despejo de dados do FortiGate para ser usado por outros agentes de ameaças.

“No início do ano, e como um começo positivo para nós, e de forma a solidificar o nome do nosso grupo na sua memória, temos o orgulho de anunciar a nossa primeira operação oficial: Serão publicados dados sensíveis de mais de 15.000 alvos em todo o mundo (setores governamentais e privados) que foram hackeados e seus dados extraídos", diz uma postagem no fórum de hackers.


O vazamento do FortiGate consiste em um arquivo de 1,6 GB contendo pastas ordenadas por país. Cada pasta contém outras subpastas para cada endereço IP do FortiGate naquele país.

De acordo com o especialista em segurança cibernética Kevin Beaumont, cada endereço IP possui um arquivo configuration.conf (Fortigate config dump) e um arquivo vpn-passwords.txt, com algumas das senhas em texto simples. As configurações também contêm informações confidenciais, como chaves privadas e regras de firewall.

Em uma postagem no blog sobre o vazamento do FortiGate, Beaumont diz que acredita-se que o vazamento esteja vinculado a um dia zero de 2022 rastreado como CVE-2022–40684 que foi explorado em ataques antes que uma correção fosse lançada.

“Eu respondi a incidentes em um dispositivo em uma organização vítima, e a exploração foi de fato via CVE-2022–40684 com base em artefatos no dispositivo. Também consegui verificar se os nomes de usuário e a senha vistos no despejo correspondem ao detalhes sobre o dispositivo", explica Beaumont.

“Os dados parecem ter sido compilados em outubro de 2022, como uma vulnerabilidade de dia zero. Por alguma razão, o despejo de dados de configuração foi lançado hoje, pouco mais de 2 anos depois.”

Em 2022, a Fortinet alertou que os agentes de ameaças estavam explorando um dia zero rastreado como CVE-2022–40684 para baixar arquivos de configuração de dispositivos FortiGate direcionados e, em seguida, adicionar uma conta super_admin maliciosa chamada ‘fortigate-tech-support’.

O site de notícias alemão Heise analisou o vazamento de dados e também disse que eles foram coletados em 2022, com todos os dispositivos utilizando firmware FortiOS 7.0.0-7.0.6 ou 7.2.0-7.2.2.

"Todos os dispositivos foram equipados com FortiOS 7.0.0-7.0.6 ou 7.2.0-7.2.2, a maioria com a versão 7.2.0. Não encontramos nenhuma versão do FortiOS no banco de dados que fosse mais recente que a versão 7.2.2, lançado em 3 de outubro de 2022”, relatou Heise.

No entanto, o FortiOS 7.2.2 corrigiu a falha CVE-2022–40684, portanto não estaria claro como os dispositivos que executam essa versão poderiam ser explorados com esta vulnerabilidade.

Embora esses arquivos de configuração tenham sido coletados em 2022, Beaumont alerta que eles ainda expõem muitas informações confidenciais sobre as defesas de uma rede.

Isto inclui regras e credenciais de firewall que, se não forem alteradas naquele momento, deverão ser alteradas imediatamente, agora que os dados foram divulgados para um grupo mais amplo de agentes de ameaças.

Beaumont diz que planeja divulgar uma lista de endereços IP no vazamento para que os administradores do FortiGate possam saber se o vazamento os afetou.

Fonte: https://www.bleepingcomputer.com/news/security/hackers-leak-configs-and-vpn-credentials-for-15-000-fortigate-devices/