File di Configurazione per 15.000 Firewall Fortinet
File di Configurazione per 15.000 Firewall Fortinet Trapelati: Il Tuo è Tra Questi?
Un attore della minaccia ha divulgato i file di configurazione di oltre 15.000 firewall Fortinet FortiGate, incluse credenziali di amministratore e utente, sollevando preoccupazioni significative in materia di sicurezza. La massiccia fuga di dati è stata pubblicizzata su un forum underground dall’attore della minaccia e noto come “Belsen_Group”. Il gruppo ha presumibilmente rilasciato l’archivio da 1,6 GB come offerta gratuita per consolidare la propria reputazione nella comunità cybercriminale Fortinet.
L’archivio contiene:
- Cartelle ordinate per paese.
- Sottocartelle denominate con indirizzi IP.
- File di configurazione completi e file di testo con credenziali di amministratore e utenti VPN.
Secondo Heise Online, la fuga coinvolge principalmente dispositivi in Messico (1.603 configurazioni), Stati Uniti (679) e Germania (208). I dispositivi compromessi sono per lo più utilizzati da aziende e studi medici. La fuga include configurazioni per circa 80 tipi di dispositivi, con i modelli FortiGate Firewall 40F e 60F tra i più comuni.
Vulnerabilità Sfruttata
Gli esperti ritengono che gli aggressori abbiano sfruttato una vulnerabilità di bypass dell’autenticazione in FortiOS (CVE-2022-40684) per raccogliere i dati. Sebbene questa vulnerabilità sia stata scoperta e corretta nel 2022, molti dispositivi potrebbero essere stati compromessi prima che venisse applicata la patch.
Il ricercatore di sicurezza Kevin Beaumont ha confermato che i nomi utente e le password trapelati corrispondono ai dettagli dei dispositivi compromessi e che gli artefatti sui dispositivi indicano CVE-2022-40684 come punto di ingresso probabile.
Rischi e Raccomandazioni
Le conseguenze della fuga di dati sono gravi:
- Esposizione di Credenziali: Permette accessi diretti a sistemi sensibili.
- Regole del Firewall: Possono rivelare strutture di rete interne, facilitando attacchi mirati.
- Certificati Digitali Compromessi: Consentono accessi non autorizzati o impersonificazioni in comunicazioni sicure.
Per mitigare i rischi, le organizzazioni dovrebbero:
- Aggiornare le Credenziali: Reimpostare tutte le password di dispositivi e VPN.
- Rivedere le Regole del Firewall: Identificare e correggere eventuali vulnerabilità.
- Revocare e Sostituire i Certificati Digitali: Ripristinare comunicazioni sicure sostituendo i certificati compromessi.
- Effettuare Indagini Forensi: Verificare segni di compromissione e garantire la sicurezza dei dispositivi.
- Applicare Patch ai Dispositivi: Assicurarsi che tutti i dispositivi siano aggiornati con l’ultima versione del firmware.
Attività del Belsen Group
Secondo i ricercatori di CloudSEK, il Belsen Group potrebbe aver utilizzato o venduto i dati prima della loro divulgazione pubblica. Nonostante il gruppo sembri nuovo sul forum, le prove suggeriscono che sia attivo da almeno tre anni e abbia sfruttato la vulnerabilità CVE-2022-40684 come zero-day.
Risposta di Fortinet
Fortinet ha confermato che i dati trapelati derivano probabilmente dallo sfruttamento di CVE-2022-40684 e CVE-2018-13379. Hanno dichiarato che i dati provengono da campagne datate e che molti dispositivi coinvolti sono stati da tempo aggiornati.
“Sebbene questi dati siano datati e molti indirizzi IP non siano più rilevanti, contatteremo tutti i clienti identificati per consigliare loro di rivedere le configurazioni”, ha affermato la società.
Osservazioni Chiave
L’analisi dei dati trapelati, che coinvolge 15.474 dispositivi FortiOS, rivela che:
- La maggior parte dei dispositivi appartiene a PMI che utilizzano servizi di telecomunicazioni o linee aziendali in leasing.
- Alcuni dati sono associati a grandi aziende e governi.
- Mancano dati relativi a dispositivi in Iran e Russia.
Le organizzazioni che utilizzano dispositivi Fortinet dovrebbero agire rapidamente per garantire la sicurezza dei loro sistemi e aggiornare le credenziali compromesse. Questa fuga di dati sottolinea l’importanza di affrontare prontamente le vulnerabilità e monitorare costantemente i segni di compromissione.
Se desideri i dati IP grezzi, sono disponibili qui grazie ad
Amram Englander: VEDI QUI
Nel 2022, Fortinet aveva avvisato che qualcuno aveva una vulnerabilità zero day e la stava utilizzando per sfruttare i firewall Fortigate: VEDI LINK QUI
Oggi, Belsen Group ha rilasciato pubblicamente le configurazioni del firewall Fortigate di poco più di 15.000 dispositivi