Un actor de amenazas ha filtrado archivos de configuración (también conocidos como configs) para más de 15 000 firewalls Fortinet Fortigate y las credenciales de administrador y usuario asociadas.
La colección se filtró el lunes y se publicó en un foro clandestino por el actor de amenazas conocido como “Belsen_Group”, supuestamente como una oferta gratuita para solidificar el nombre del grupo en la memoria de los usuarios del foro.
El archivo filtrado de 1,6 GB contiene carpetas ordenadas por país y, dentro de cada una de ellas, carpetas con nombres de direcciones IP. En su interior se encuentran archivos de configuración completos y un archivo txt con una lista de credenciales de usuario de VPN y administrador.
“La mayoría de las configuraciones de FortiNet, concretamente 1603, fueron capturadas por los atacantes en México, 679 en Estados Unidos y 208 en Alemania”, reveló el medio de noticias alemán Heise Online .
Según los investigadores, muchos de los dispositivos afectados se encuentran en empresas y consultorios médicos. “En la fuga de datos se pueden encontrar hasta 80 tipos de dispositivos diferentes, siendo los firewalls FortiGate 40F y 60F los más comunes. También hay gateways WLAN y dispositivos para instalar en el rack de servidores, así como dispositivos compactos para el escritorio o el armario de escobas”.
¿Qué hacer?
Según varios investigadores, el archivo con los archivos de configuración robados data de octubre de 2022, y se cree que los atacantes explotaron una vulnerabilidad de omisión de autenticación de FortiOS ( CVE-2022–40684 ) para ensamblarlo.
“He respondido a incidentes en un dispositivo de una organización víctima y la explotación se produjo efectivamente a través de CVE-2022–40684 basada en artefactos del dispositivo. También he podido verificar que los nombres de usuario y la contraseña que se ven en el volcado coinciden con los detalles del dispositivo”, compartió el investigador de seguridad Kevin Beaumont .
Los investigadores de CloudSEK han descargado el archivo y han compilado una lista de direcciones IP que las organizaciones pueden usar para verificar si sus dispositivos se encuentran entre los afectados.
“La exposición de nombres de usuario y contraseñas (algunas en texto sin formato) permite a los atacantes acceder directamente a sistemas sensibles. Incluso si las organizaciones aplicaron un parche a este CVE en 2022 después de que Fortigate lo lanzara, aún deben verificar si hay señales de compromiso, ya que se trató de un día cero”, señalaron los investigadores .
Las reglas de firewall pueden revelar estructuras de red internas, lo que potencialmente permite a los atacantes eludir las defensas, agregaron. “Los certificados digitales violados podrían permitir el acceso no autorizado a dispositivos o la suplantación de identidad en comunicaciones seguras”.
Han aconsejado a las organizaciones actualizar todas las credenciales de los dispositivos y VPN, revisar las reglas del firewall para detectar debilidades explotables y reforzar los controles de acceso, revocar y reemplazar todos los certificados digitales expuestos para restaurar las comunicaciones seguras y, finalmente, realizar una investigación forense para verificar si los dispositivos han sido o aún están comprometidos.
Afirman que el Grupo Belsen utilizó la información filtrada para sí mismo o la vendió a otros atacantes antes de filtrarla.
“Belsen Group puede parecer nuevo en los foros, pero basándonos en los datos filtrados por ellos, podemos afirmar con gran certeza que llevan existiendo al menos tres años. Es probable que formaran parte de un grupo de amenazas que explotó un día cero en 2022, aunque todavía no se han establecido afiliaciones directas”, concluyeron.
Fuente y redacción: helpnetsecurity.com