Un nuevo grupo de hackers ha filtrado los archivos de configuración, las direcciones IP y las credenciales de VPN de más de 15.000 dispositivos FortiGate a la web oscura de forma gratuita, exponiendo una gran cantidad de información técnica confidencial a otros ciberdelincuentes.
Los datos fueron filtrados por el “Grupo Belsen”, un nuevo grupo de hackers que apareció por primera vez en las redes sociales y foros sobre delitos cibernéticos este mes. Para promocionarse, Belsen Group creó un sitio web Tor donde publicaron el volcado de datos de FortiGate de forma gratuita para que otros actores maliciosos pudieran utilizarlo.
“A principios de año, y como un comienzo positivo para nosotros, y con el fin de solidificar el nombre de nuestro grupo en su memoria, estamos orgullosos de anunciar nuestra primera operación oficial: se publicarán datos sensibles de más de 15.000 objetivos. “
Fuente: BleepingComputer
La filtración de FortiGate consiste en un archivo de 1,6 GB que contiene archivos organizados por país. Cada carpeta contiene otras subcarpetas para la dirección IP de cada FortiGate en ese país.
Fuente: Beaumont
Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un archivo Configuration.conf (volcado de configuración de Fortigate) y un archivo vpn-passwords.txt, con algunas contraseñas en texto plano. Las configuraciones también contienen información confidencial, como claves privadas y reglas de firewall.
en un publicación de blog Con respecto a la filtración de FortiGate, Beaumont dice que se cree que está relacionada con un día cero de 2022 rastreado como CVE-2022-40684 que fue explotado en ataques antes de que se lanzara un parche.
“Respondí a un incidente en un dispositivo de una organización víctima y, de hecho, la explotación se realizó a través de CVE-2022-40684, según los artefactos del dispositivo. También pude verificar que los nombres de usuario y las contraseñas que se muestran en el volcado coincidían con los detalles del dispositivo”, dice Beaumont.
“Los datos parecen haber sido recopilados en octubre de 2022, como una vulnerabilidad de día cero. Por alguna razón, el volcado de datos de configuración se publicó hoy, poco más de 2 años después”.
En 2022, Fortinet advirtió que actores maliciosos estaban explotando el seguimiento de día cero como CVE-2022-40684 para descargar archivos de configuración de dispositivos FortiGate específicos y luego agregar una cuenta super_admin maliciosa llamada “fortigate-tech-support”.
Fuente: Fortinet
El sitio de noticias alemán Heise analizó la filtración de datos y también afirmó que se recopilaron en 2022, y que todos los dispositivos usaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2.
“Todos los dispositivos ejecutaban FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2, la mayoría con la versión 7.2.0. No encontramos ninguna versión de FortiOS en la mina de datos que fuera anterior a la versión 7.2.2, lanzada en octubre. 3 de diciembre de 2022”, Heise informó.
Sin embargo, FortiOS 7.2.2 solucionó CVE-2022-40684, por lo que no está claro cómo los dispositivos que ejecutan esta versión podrían explotarse con esta vulnerabilidad.
Aunque estos archivos de configuración se recopilaron en 2022, Beaumont advierte que todavía exponen mucha información confidencial sobre las defensas de una red.
Esto incluye reglas y credenciales de firewall que, si no se cambian en este momento, deberían cambiarse inmediatamente ahora que los datos se han filtrado a un grupo más amplio de malos actores.
Beaumont dice que planea publicar una lista de direcciones IP involucradas en la filtración para que los administradores de FortiGate puedan averiguar si la filtración los afectó.
BleepingComputer también se ha puesto en contacto con los actores de amenazas y con Fortinet para preguntar sobre la filtración y actualizará la historia si recibimos una respuesta.