Tráfego em 30/Out/24: 349.264 page views/mês - 141.802 usuários/mês - 5.441 assinantes

Após publicação de exploits, vazam credenciais de 49.577 VPNs

Da Redação
25/11/2020

Um cibercriminoso publicou hoje pela manhã na dark web as credenciais (logins e senhas) para acesso a 49.577 VPNs vulneráveis. Os IPs e os exploits que permitem sua invasão haviam sido despejados na rede no dia 19. Os endereços IP são supostamente de VPNs FortiNet FortiOS SSL, coletados por meio de um buscador de dispositivos online como o Shodan ou o Censys. A vulnerabilidade explorável nessa versão da VPN é aquela de registro CVE-2018-13379, que a Fortinet corrigiu em 2018.

Embora a correção tenha sido publicada e amplamente divulgada, muitas empresas permaneceram utilizando a solução sem ter aplicado o patch, o que permitiu sua inclusão na lista construída pelo cibercriminoso.

Sobre o despejo dos IPs, no dia 23 de novembro a Fortinet enviou ao CISO Advisor a seguinte nota: “(…) Em maio de 2019, a Fortinet emitiu um aviso PSIRT sobre a vulnerabilidade SSL, que foi resolvida, e também comunicou diretamente os clientes e, novamente, por meio de postagens no blog corporativo em agosto de 2019 e julho de 2020, recomendando fortemente uma atualização. Continuamos a pedir aos clientes que implementem as atualizações e mitigações correspondentes. Para obter mais informações, por favor, visite nosso blog atualizado e consulte imediatamente o aviso de maio de 2019″.

Veja isso
Hacker vaza exploits de cerca de 50 mil VPNs Fortinet vulneráveis
Vazamento pode conter dados de corretora de valores brasileira

Ao despejar os IPs no dia 19, o cibercriminoso informou que teria as credenciais não codificadas para esses endereços. No entanto, o despejo de hoje foi feito sob um nome diferente do despejo anterior (o que não significa que não seja a mesma pessoa). Especialistas que examinaram a lista de IPs vazada dia 19 disseram que ela contém endereços de bancos comerciais, empresas de telecomunicação e organizações governamentais do mundo inteiro.

A exploração dessa vulnerabilidade, segundo especialistas, permite que sejam acessados os arquivos “sslvpn_websession”, contendo informações relacionadas à sessão, podendo também conter nomes de usuários em texto simples e senhas de usuários.

Com agências internacionais

Compartilhar: