Fortinet nie ma ostatnio dobrej passy. W poniedziałek pisaliśmy, że luka typu zero-day śledzona jako CVE-2024-55591 była wykorzystywana w atakach co najmniej od listopada zeszłego roku. Dzisiaj donosimy, że grupa hakerów ujawniła dane związane z około 15 tysiącami zapór sieciowych Fortinet. Naprawdę słaby tydzień!
Hakerzy, którzy ujawnili dane, przedstawiają się jako Belsen Group i nazywają akcję swoją „pierwszą oficjalną operacją”. 14 stycznia ogłosili, że dane są dostępne za darmo. Zawierają adresy IP, hasła i konfiguracje powiązane z 15 tysiącami urządzeń Fortinet zlokalizowanymi na całym świecie. Analiza wykazała, że prawdopodobnie zostały one uzyskane w 2022 r. poprzez wykorzystanie luki w zabezpieczeniach.
O innych problemach z Fortinetem przeczytasz tutaj.
Badacz ds. bezpieczeństwa Kevin Beaumont przeanalizował ujawnione pliki. Potwierdził, że dane są prawdziwe poprzez porównanie z urządzeniami Fortinet, które są widoczne w wyszukiwarce Shodan.
Wykradzione informacje są klasyfikowane na podstawie kraju pochodzenia, przy czym każdy rekord zawiera adres IP, pełne dane konfiguracyjne i poświadczenia w postaci zwykłego tekstu. Ujawnienie obejmuje nazwy użytkowników, hasła, certyfikaty zarządzania urządzeniami i reguły zapory sieciowej.
Na podstawie analizy wyciekłych danych i urządzenia należącego do jednej z dotkniętych organizacji Beaumont ustalił, że informacje zostały zebrane najpewniej w październiku 2022 r., prawdopodobnie poprzez wykorzystanie luki CVE-2022–40684.
Istnienie podatności wyszło na jaw w październiku 2022 r., kiedy Fortinet przyznał się do istnienia luki typu zero-day wykorzystanej w co najmniej jednym ataku.
Kilka dni po ujawnieniu upubliczniono proof-of-concept (PoC), a wykorzystanie podatności w atakach zaczęło się nasilać. W tym czasie producent wezwał klientów do podjęcia natychmiastowych działań, po odkryciu, jak wiele urządzeń pozostało jeszcze niezałatanych.
Około półtora miesiąca po ujawnieniu luki CVE-2022–40684 firma ostrzegła, że cyberprzestępcy sprzedawali dostęp do sieci przedsiębiorstw, prawdopodobnie naruszonych poprzez wykorzystanie tej luki.
Jak zauważył Beaumont, wyciekłe pliki mogą nadal stanowić zagrożenie dla organizacji, ponieważ dwuletnie dane „nie są bardzo stare”, a „wiele urządzeń jest nadal online i można do nich dotrzeć”. Według badacza kluczowa jest tutaj kwestia konfiguracji, w tym wszystkich reguł zapory. Ponoć udostępnione przez hakerów informacje mogą być przydatne mimo zainstalowanej łaty. Nawet jeżeli administratorzy łatali już w 2022 roku.
Fortinet na razie nie odniósł się do sprawy.