La base de datos sin comprimir, de 6,7 gigabytes, está siendo ofrecida en populares foros de ciberdelincuentes, quienes afirman se trata del “logro más completo que contiene todos los enlaces de explotación y archivos de sesión web sslvpn con nombre de usuario y contraseñas”. El sujeto, que opera bajo el seudónimo arendee2018, también afirma que la base de datos contiene enlaces y todos los archivos de sesiones web de los dispositivos Fortinet.
La información tuvo su origen en datos robados el 19 de noviembre por un actor que se autoidentifica como “pumpedkicks”, que publicó una lista de exploits de una línea para los IPs FortiGate de Fortinet que contenían una vulnerabilidad clasificada como CVE-2018-13379, informa HackRead. La nueva base de datos publicada ha utilizado los exploits publicados para compilar credenciales y otros datos relacionados.
HackRead explica que la vulnerabilidad fue descubierta por investigadores en Taiwán en agosto de 2018, y se describe como una “brecha de seguridad en el portal web FortiOS SSL VPN que puede permitir a un atacante no autenticado descargar archivos del sistema FortiOS a través de solicitudes de recursos HTTP especialmente diseñadas”. Fortinet publicó entonces un parche para la vulnerabilidad en mayo de 2019 a la vez que advertía a los clientes de la necesidad de aplicar el parche nuevamente en julio y agosto de ese año.
En julio de este año, Fortinet advirtió que grupos avanzados de amenazas persistentes – incluyendo APT 29, también conocido como Cozy Bear – estaban utilizando la vulnerabilidad para atacar el desarrollo de la vacuna para el Covid-19 en Canadá, Estados Unidos y el Reino Unido.
HackRead aconseja a todos los clientes de Fortinet, si aún no lo han hecho, actualizar inmediatamente todos los sistemas FortiGate a los últimos lanzamientos de firmware y que validen a todos los usuarios locales de SSL-VPN, con las direcciones de correo electrónico correctas asignadas y que realicen un restablecimiento de la contraseña de todos los usuarios.
Según la fuente, alrededor de 50.000 registros pertenecientes a bancos, telecomunicaciones y organizaciones gubernamentales fueron expuestos por esta brecha de datos, incluyendo información relacionada con la sesión y nombres de usuario y contraseñas de texto plano de los usuarios de Fortinet VPN.