Hakerski kolektiv poznat kao “Belsen Group” objavio je preko 15.000 jedinstvenih FortiGate firewall konfiguracija online.
Dump podataka, navodno dobijen iskorištavanjem ranjivosti nultog dana u Fortinetovim sistemima još u oktobru 2022., uključuje osjetljive informacije kao što su korisnička imena, lozinke (neke u otvorenom tekstu), sertifikati za upravljanje uređajima i kompletna pravila zaštitnog zida.
Podaci koji su procurili besplatno su stavljeni na raspolaganje na mračnom web forumu i čini se da su autentični. Svaka fascikla u dumpu je organizovana po zemlji i sadrži podfoldere nazvane prema IP adresama.
Ove fascikle sadrže dve kritične datoteke: config.conf, koji sadrži punu konfiguraciju uređaja FortiGate i vpn-users.txt, koji navodi VPN akreditive u otvorenom tekstu.
Istraživač sajber sigurnosti Kevin Beaumont potvrdio je legitimnost curenja upućivanjem serijskih brojeva iz podataka sa uređajima navedenim na Shodan-u, pretraživaču za uređaje povezane s internetom.
Beaumont je također potvrdio da se korisnička imena i lozinke iz deponije poklapaju sa detaljima o narušenim uređajima koje je analizirao tokom pokušaja odgovora na incident.
Belsen grupa je preuzela odgovornost za ovo kršenje, označivši to kao svoju prvu veliku operaciju. U njihovoj najavi je navedeno da će “2025. biti srećna godina za svijet”, sugerišući da bi mogle uslijediti daljnje sajber kampanje.
Eksploatacija CVE-2022-40684
Kršenje seže do CVE-2022-40684 , kritične ranjivosti zaobilaženja autentifikacije u Fortinetovim proizvodima FortiOS, FortiProxy i FortiSwitchManager.
Ovaj nedostatak je omogućio napadačima da zaobiđu administrativnu autentifikaciju koristeći posebno kreirane HTTP ili HTTPS zahtjeve. Ranjivost je prvi put otkrio Fortinet u oktobru 2022. i imala je CVSS ocjenu 9,8, što je čini vrlo kritičnom.
U to vrijeme, Fortinet je pozvao korisnike da odmah zakrpe svoje sisteme nadogradnjom na sigurne verzije svog softvera. Međutim, čini se da su napadači iskoristili ovu manu prije nego što su mnoge organizacije uspjele primijeniti zakrpu.
Verzije firmvera na koje utiče kritična ranjivost Fortinet autentifikacije zaobilaženja, CVE-2022-40684, uključuju sljedeće:
- FortiOS :
- Verzije od 7.0.0 do 7.0.6
- Verzije 7.2.0 do 7.2.1
- FortiProxy :
- Verzije od 7.0.0 do 7.0.6
- Verzija 7.2.0
- FortiSwitchManager :
- Verzije 7.0.0 i 7.2.0
Preporučena ažuriranja firmvera
Da bi ublažio ranjivost, Fortinet preporučuje nadogradnju na sljedeće sigurne verzije:
- FortiOS : Verzija 7.2.2 ili novija i verzija 7.0.7 ili novija.
- FortiProxy : Verzija 7.2.1 ili novija i verzija 7.0.7 ili novija.
- FortiSwitchManager : verzija 7.2.1 ili novija i verzija 7.0.1 ili novija
Podaci koji su procurili sugerišu da su konfiguracije eksfiltrirane krajem 2022., ali su javno objavljene tek nakon dvije godine.
Izdavanje ovih konfiguracija predstavlja ozbiljne rizike za pogođene organizacije:
- Izlaganje kredencijala: Obični VPN kredencijala i korisnička imena mogu omogućiti napadačima da dobiju neovlašteni pristup mrežama.
- Pravila zaštitnog zida: Detaljna pravila zaštitnog zida pružaju napadačima uvid u mrežnu arhitekturu i sigurnosne politike.
- Sertifikati uređaja: Procureli sertifikati mogu olakšati napade čovjeka u sredini ili druge oblike lažnog predstavljanja.
- Trajne pretnje: čak i organizacije koje su zakrpile CVE-2022-40684 još 2022. mogu i dalje biti ranjive ako su njihove konfiguracije ukradene pre zakrpe.
Stručnjaci za sigurnost upozoravaju da bi ovaj nivo izloženosti mogao dovesti do široko rasprostranjene eksploatacije u državnom i privatnom sektoru na globalnom nivou.
Kevin Beaumont je izjavio da planira objaviti listu pogođenih IP adresa kako bi organizacije mogle utvrditi jesu li pogođene. U međuvremenu, stručnjaci za sajber sigurnost naglašavaju važnost proaktivnih mjera jer napadači vjerovatno već iskorištavaju ovu riznicu podataka.
Izvor: CyberSecurityNews