Fortinet es una empresa dedicada al desarrollo y comercialización de dispositivos de ciberseguridad, como firewalls, prevención de intrusos (IPS) y seguridad en dispositivos de usuario, entre otros. Siendo la cuarta compañía de seguridad de redes más grande, en lo que a ingresos se refiere.
Recientemente se ha filtrado una lista con alrededor de 500.000 cuentas VPN, correspondientes a servidores VPN Fortinet la cual contiene los nombres de usuario y las contraseñas de 87.000 dispositivos.
Según fue informado por la marca, estas credenciales fueron obtenidas de sistemas que permanecieron sin actualizarse contra la vulnerabilidad [FG-IR-18-384 / CVE-2018-13379] al momento que el actor malicioso realizó el escaneo. Si bien pudieron haber realizado su respectiva actualización, las contraseñas no se restablecieron, por lo que siguen siendo vulnerables.
La explotación de la vulnerabilidad está relacionada con una limitación incorrecta de un nombre de ruta a un directorio restringido ("Path Traversal") en las siguientes versiones de Fortinet bajo el portal web VPN SSL:
- FortiOS 6.0.0 a 6.0.4
- FortiOS 5.6.3 a 5.6.7
- FortiOS 5.4.6 a 5.4.12
- FortiProxy 2.0.0
- FortiProxy 1.2.0
- FortiProxy 1.2.8
- FortiProxy 1.1.0 a 1.1.6
- FortiProxy 1.0.0 a 1.0.7
De ser exitosa la explotación, permite al atacante no autenticado descargar archivos del sistema a través de solicitudes de recursos HTTP específicamente diseñadas y extraer las credenciales en texto plano.
El actor malicioso responsable de la filtración afirma mediante los foros de la Dark Web que las credenciales son válidas, lo cual permite a múltiples atacantes poder acceder a la red interna de las organizaciones.
Desde Arkavia Networks recomendamos encarecidamente a los administradores mantener actualizados sus firewalls, así como programar una ventana de tiempo para el restablecimiento de nuevas contraseñas para las cuentas de acceso VPN.
COMENTARIOS