File di Configurazione per 15.000 Firewall Fortinet

File di Configurazione per 15000 Firewall Fortinet Trapelati Il Tuo e Tra Questi

File di Configurazione per 15.000 Firewall Fortinet

File di Configurazione per 15.000 Firewall Fortinet Trapelati: Il Tuo è Tra Questi?

Un attore della minaccia ha divulgato i file di configurazione di oltre 15.000 firewall Fortinet FortiGate, incluse credenziali di amministratore e utente, sollevando preoccupazioni significative in materia di sicurezza. La massiccia fuga di dati è stata pubblicizzata su un forum underground dall’attore della minaccia e noto come “Belsen_Group”. Il gruppo ha presumibilmente rilasciato l’archivio da 1,6 GB come offerta gratuita per consolidare la propria reputazione nella comunità cybercriminale Fortinet.

L’archivio contiene:

  • Cartelle ordinate per paese.
  • Sottocartelle denominate con indirizzi IP.
  • File di configurazione completi e file di testo con credenziali di amministratore e utenti VPN.

Secondo Heise Online, la fuga coinvolge principalmente dispositivi in Messico (1.603 configurazioni), Stati Uniti (679) e Germania (208). I dispositivi compromessi sono per lo più utilizzati da aziende e studi medici. La fuga include configurazioni per circa 80 tipi di dispositivi, con i modelli FortiGate Firewall 40F e 60F tra i più comuni.

Vulnerabilità Sfruttata

Gli esperti ritengono che gli aggressori abbiano sfruttato una vulnerabilità di bypass dell’autenticazione in FortiOS (CVE-2022-40684) per raccogliere i dati. Sebbene questa vulnerabilità sia stata scoperta e corretta nel 2022, molti dispositivi potrebbero essere stati compromessi prima che venisse applicata la patch.

Il ricercatore di sicurezza Kevin Beaumont ha confermato che i nomi utente e le password trapelati corrispondono ai dettagli dei dispositivi compromessi e che gli artefatti sui dispositivi indicano CVE-2022-40684 come punto di ingresso probabile.

Rischi e Raccomandazioni

Le conseguenze della fuga di dati sono gravi:

  • Esposizione di Credenziali: Permette accessi diretti a sistemi sensibili.
  • Regole del Firewall: Possono rivelare strutture di rete interne, facilitando attacchi mirati.
  • Certificati Digitali Compromessi: Consentono accessi non autorizzati o impersonificazioni in comunicazioni sicure.

Per mitigare i rischi, le organizzazioni dovrebbero:

  1. Aggiornare le Credenziali: Reimpostare tutte le password di dispositivi e VPN.
  2. Rivedere le Regole del Firewall: Identificare e correggere eventuali vulnerabilità.
  3. Revocare e Sostituire i Certificati Digitali: Ripristinare comunicazioni sicure sostituendo i certificati compromessi.
  4. Effettuare Indagini Forensi: Verificare segni di compromissione e garantire la sicurezza dei dispositivi.
  5. Applicare Patch ai Dispositivi: Assicurarsi che tutti i dispositivi siano aggiornati con l’ultima versione del firmware.

File di configurazione per 15000 firewall fortinet trapelati

Attività del Belsen Group

Secondo i ricercatori di CloudSEK, il Belsen Group potrebbe aver utilizzato o venduto i dati prima della loro divulgazione pubblica. Nonostante il gruppo sembri nuovo sul forum, le prove suggeriscono che sia attivo da almeno tre anni e abbia sfruttato la vulnerabilità CVE-2022-40684 come zero-day.

Risposta di Fortinet

Fortinet ha confermato che i dati trapelati derivano probabilmente dallo sfruttamento di CVE-2022-40684 e CVE-2018-13379. Hanno dichiarato che i dati provengono da campagne datate e che molti dispositivi coinvolti sono stati da tempo aggiornati.

“Sebbene questi dati siano datati e molti indirizzi IP non siano più rilevanti, contatteremo tutti i clienti identificati per consigliare loro di rivedere le configurazioni”, ha affermato la società.

Osservazioni Chiave

L’analisi dei dati trapelati, che coinvolge 15.474 dispositivi FortiOS, rivela che:

  • La maggior parte dei dispositivi appartiene a PMI che utilizzano servizi di telecomunicazioni o linee aziendali in leasing.
  • Alcuni dati sono associati a grandi aziende e governi.
  • Mancano dati relativi a dispositivi in Iran e Russia.

Le organizzazioni che utilizzano dispositivi Fortinet dovrebbero agire rapidamente per garantire la sicurezza dei loro sistemi e aggiornare le credenziali compromesse. Questa fuga di dati sottolinea l’importanza di affrontare prontamente le vulnerabilità e monitorare costantemente i segni di compromissione.

Se desideri i dati IP grezzi, sono disponibili qui grazie ad
Amram Englander: VEDI QUI

Nel 2022, Fortinet aveva avvisato che qualcuno aveva una vulnerabilità zero day e la stava utilizzando per sfruttare i firewall Fortigate: VEDI LINK QUI
Oggi, Belsen Group ha rilasciato pubblicamente le configurazioni del firewall Fortigate di poco più di 15.000 dispositivi


Translate »
error: Il contenuto è protetto!!
Open chat
Salve,
possiamo aiutarti?