È stato divulgato sul forum di hacking RAMP un elenco contenente circa 500.000 credenziali di accesso alle VPN Fortinet utilizzate da numerose organizzazioni pubbliche e private in 74 paesi di tutto il mondo: in tutto, sarebbero 22.500 le aziende esposte a questo grave data leak, di cui 40 in Italia.
Le credenziali sono state probabilmente trafugate dai criminal hacker negli ultimi mesi utilizzando la tecnica del data scraping, sfruttando la vulnerabilità CVE-2018-13379 Path Traversal presente nel sistema operativo FortiOS installato su alcuni dispositivi Fortigate e ora corretta.
Le credenziali trafugate potrebbero ora consentire ai threat actor di violare le reti delle organizzazioni che utilizzano le appliance VPN compromesse ed eseguire attività dannose come l’esfiltrazione di dati sensibili, l’installazione di malware e il lancio di attacchi ransomware.
Web scraping, tutto sulla tecnica usata per rubare dati Facebook e LinkedIn
Indice degli argomenti
Cosa sappiamo sul data leak Fortinet
Le analisi condotte dagli esperti di Advanced Intel hanno confermato che tutte le credenziali raccolte nel data leak sono effettivamente associate alle VPN Fortinet e molte di queste risultano essere ancora valide.
Non è chiaro il motivo per cui il data leak sia stato “regalato” agli utenti del forum di hacking e non utilizzato direttamente dal threat actor che lo ha divulgato pubblicamente per compiere attività malevoli per conto proprio.
“Crediamo che la fuga di SSL VPN sia stata probabilmente compiuta per promuovere il nuovo forum di ransomware RAMP che offre un “omaggio” per gli aspiranti operatori di ransomware”, ha detto Vitali Kremez, CTO di Advanced Intel.
Il post con il link a un file contenente gli account VPN di Fortinet è stato pubblicato da un utente che si firma con il nickname Orange e che, probabilmente, è l’amministratore del forum RAMP.
Contemporaneamente, un altro post che segnalava la fuga di dati delle VPN Fortinet è apparso anche sul sito del gruppo ransomware Groove dedicato proprio alla pubblicazione dei data leak.
Entrambi i post puntano ad un server TOR.
Lo stesso utente Orange era già noto per essere uno dei componenti del gruppo ransomware Babuk. In seguito ad alcune controversie con gli altri membri, però, si sarebbe separato dal gruppo e avrebbe dato vita al forum RAMP utilizzato come “vetrina” della nuova gang criminale Groove, al cui attivo risulta al momento un altro solo data leak. Il nuovo furto di dati delle VPN Fortinet potrebbe dunque essere un modo per “certificare” il lavoro compiuto dai suoi membri.
Come mitigare i rischi
Da parte sua, Fortinet ha rilasciato una dichiarazione ufficiale: “La sicurezza dei nostri clienti è la nostra prima priorità. Fortinet è consapevole che un attore malintenzionato ha divulgato le credenziali SSL-VPN per accedere ai dispositivi FortiGate SSL-VPN. Le credenziali sono state ottenute da sistemi che non hanno ancora implementato l’aggiornamento della patch fornito a maggio 2019. Da maggio 2019, Fortinet ha continuamente comunicato con i clienti sollecitando l’implementazione delle mitigazioni, compresi i post sui blog aziendali di agosto 2019, luglio 2020, aprile 2021 e giugno 2021. Rilasceremo un altro avviso raccomandando vivamente ai clienti di implementare sia l’aggiornamento della patch che il reset della password il prima possibile”.
Alla luce di quanto detto, quindi, gli amministratori dei server VPN Fortinet dovrebbero considerare il fatto che le credenziali di accesso dei propri utenti potrebbero essere state compromesse e procedere, come suggerito dalla società stessa, a un reset forzato di tutte le password.
È utile anche controllare i log delle attività e delle connessioni per verificare eventuali intrusioni nelle proprie reti da indirizzi IP sospetti.
Infine, è importante procedere il prima possibile all’aggiornamento dei propri dispositivi con la patch rilasciata da Fortinet che corregge la vulnerabilità sfruttata dai criminal hacker per effettuare il data leak delle credenziali.
