Publicados 49.577 dispositivos Fortinet vulnerables.

Un cracker, bajo el alias Pumpedkicks, ha publicado las credenciales de cerca de 50.000 dispositivos VPN Fortinet Fortigate, en los que no se habían instalado los parches de seguridad del fabricante para cubrir la vulnerabilidad CVE-2018-13379 que afecta a VPN FortiOS SSL.

La publicación se ha realizado en diversos foros de piratería, revelando en texto plano los nombres de usuario, contraseñas, niveles de acceso los usuarios y las IP desenmascaradas. En total y a pesar de que cuando se descarga el archivo comprimido RAR sólo es de 36MB, se trata de casi 7GB de información de 49.577 dispositivos. Entre los afectados destacan cerca de casi cuarenta instituciones financieras y gubernamentales.

Esta exposición permitiría que, incluso si ahora se parchean estos dispositivos comprometidos, las credenciales podrían volver a ser utilizadas si no son modificadas. Por tanto, de además de instalar los parches, es recomendable modificar las contraseñas, no sólo de todos los dispositivos VPN, sino también de cualquier otro sitio web donde se hayan utilizado esas mismas credenciales.

Cabe indicar que esta vulnerabilidad fue encontrada en 2018, corregida por Fortinet en mayo de 2019 pero todavía quedan miles de dispositivos sin actualizar.

Segu-Info ha creado este formulario para verificar el estado de una IP particular.

La vulnerabilidad afecta a:
·         FortiOS 6.0 – 6.0.0 a 6.0.4
·         FortiOS 5.6 – 5.6.3 a 5.6.7
·         FortiOS 5.4 – 5.4.6 a 5.4.12
Como solución se debe actualizar a FortiOS 5.4.13, 5.6.8, 6.0.5 o 6.2.0 y superior.

Impacto técnico

• El atacante puede leer cualquier archivo (incluidos los archivos críticos del sistema como: archivos de configuración / archivos de contraseña) del servidor.
• Los atacantes pueden realizar prueba y error para buscar y leer archivos confidenciales en el servidor de destino.

Referencia:

https://blog.segu-info.com.ar/2020/11/publican-casi-50000-fortinet.html