Um hacker vazou uma lista de exploits de para roubar credenciais de rede privada virtual de quase 50 mil dispositivos VPN da Fortinet. Na lista de alvos vulneráveis estão domínios pertencentes a bancos de grande porte e órgãos governamentais de todo o mundo.
A vulnerabilidade é referenciada como CVE-2018-13379, uma falha não corrigida denominada path traversal que afeta um grande número de dispositivos FortiNet FortiOS SSL VPN. Ao explorarem essa vulnerabilidade, invasores remotos não autenticados podem acessar arquivos de sistema por meio de solicitações HTTP especialmente criadas.
A lista de exploits vazada pelo hacker permite que invasores acessem arquivos sslvpn_websession de VPNs FortiNet para roubar credenciais de login. Essas credenciais roubadas podem então ser usadas para comprometer uma rede e implantar ransomware.
Embora o bug descoberto em 2018 tenha sido divulgado há mais de um ano, os pesquisadores identificaram cerca de 50 mil dispositivos espalhados pelo mundo que ainda podem ser alvos de invasores.
Veja isso
Cerca de 800 mil VPNs SonicWall precisam de correção de falha crítica
VPN ‘zero logs’ expõe dados de milhões de clientes e de conexões
Na semana passada, a empresa de análise de inteligência de ameaças Bank Security encontrou um tópico em fórum de hackers em que um autor de ameaças compartilhou uma grande lista de 49.577 dispositivos de tais alvos exploráveis Depois de analisar a lista, verificou-se que os alvos vulneráveis incluíam domínios governamentais do mundo todo e também pertencentes a bancos e financeiras conhecidas.
Dos 50 mil domínios, mais de quatro dúzias pertenciam a bancos, financeiras e organizações governamentais de renome. A Bank Security disse ao site BleepingComputer que depois de ver a postagem no fórum, começou a analisar a lista de IPs para identificar todas as organizações afetadas.
Para descobrir melhor quais empresas foram afetadas, pesquisadores de segurança da Bank Security lançaram um nslookup em todos os IPs da lista e, para muitos deles, encontraram o domínio associado. Depois, refinaram os resultados obtidos para identificar nomes de domínio associados a organizações e bancos.
Segundo eles, embora este seja um bug antigo e trivial de explorar, as organizações têm um processo de correção “muito lento”, permitindo que os invasores continuem explorando bugs conhecidos. “Esta é uma vulnerabilidade antiga, bem conhecida e facilmente explorada. Os invasores já a usam há muito tempo. Infelizmente, as empresas têm um processo de patching muito lento ou um perímetro de exposição descontrolado na Internet e, por esse motivo, os invasores conseguem explorar essas falhas para comprometer empresas em todos os setores com relativa simplicidade”, disseram os pesquisadores em comunicado.
Nesta terça-feira, 23, a subsidiária da Fortinet no Brasil enviou, por meio de sua assessoria de imprensa, o seguinte comunicado:
A segurança de nossos clientes é a nossa prioridade. Em maio de 2019, a Fortinet emitiu um aviso PSIRT sobre a vulnerabilidade SSL, que foi resolvida, e também comunicou diretamente os clientes e, novamente, por meio de postagens no blog corporativo em agosto de 2019 e julho de 2020, recomendando fortemente uma atualização. Continuamos a pedir aos clientes que implementem as atualizações e mitigações correspondentes. Para obter mais informações, por favor, visite nosso blog atualizado e consulte imediatamente o aviso de maio de 2019.
