WIKI WIKI NEWS

Breach al FortiGate

500 mila credenziali online: a tanto ammonta il furto ai danni di Fortinet VPN

Da martedì 7 sono online sul forum russofono RAMP 498.908 credenziali di accesso a 87.000 dispositivi FortiGate SSL-VPN. 

Si tratta, come ammesso dalla stessa multinazionale americana, dei nomi utente e le password attraverso cui le persone si connettono alle reti private virtuali che garantiscono protezione dei dati dell’utente e anonimato sul web. 

Il Cybercriminale, noto come Orange, secondo alcuni addetti ai lavori facente parte del collettivo Groove – che pare avesse a che fare con Babuk, di cui avevamo già parlato a proposito dell’attacco al Metropolitan Police Department (MPD) del Distretto della Columbia ed in seguito a danno delle persone –, ha scelto di divulgare gratuitamente l’ingente bottino, mediante un link che rimanda ad una pagina disponibile attraverso Tor.

La falla (tra le 30 più sfruttate nel corso del 2020) è da ricondurre ad una vulnerabilità – FG-IR-18-384 / CVE-2018-13379 –, scoperta nell’aprile del 2019, per la quale l’azienda americana aveva rilasciato fin dal maggio seguente diverse segnalazioni PSIRT e patch che, si presume, non fossero installate sui 12.856 dispositivi presi di mira in 74 diversi Paesi, tra cui l’Italia.

Le precedenti versioni di FortiOS permettevano di accedere ai file di sistema tramite specifiche richieste HTTP e senza autenticazione al portale web. Per tale ragione l’azienda aveva anche esortato tutti i clienti ad aggiornare il software e poi resettare le credenziali.

Giova ricordare che l’accesso dei malintenzionati agli account VPN Fortinet tanto delle persone fisiche quanto delle aziende che utilizzano le appliance VPN compromesse consentirebbe loro di infiltrarsi nelle reti, rubare dati sensibili, installarvi malware o peggio ancora sfruttarle come veicolo per lanciare attacchi ransomware. 

Come se non bastasse, lo stesso Orange ha ammesso che gran parte delle credenziali carpite siano tuttora valide.

Per tale ragione, è stata Fortinet stessa, nella giornata dell’8 settembre, a suggerire ai propri clienti un reset forzato di tutte le password ed un controllo dei log per poter verificare che non siano stati effettuati accessi sospetti.

Back to top button