Miles de credenciales expuestas de dispositivos Fortinet
21/01/2025
Por Guillermo Pereyra, Analista de Seguridad en LACNIC
Un grupo de criminales ha publicado los archivos de configuración, direcciones IP y las credenciales de acceso de VPN de más de 15.000 dispositivos FortiGate en la dark web. Cada carpeta individual contiene un archivo de volcado de la configuración de Fortigate y un archivo vpn-passwords.txt. Se vió que algunas contraseñas estaban almacenadas en texto claro que puede deberse a una mala configuración del sistema o a la no complejidad de las mismas.
Se cree que la filtración está relacionada con una vulnerabilidad de día cero del año 2022 (CVE-2022-40684). Los atacantes utilizaron esta vulnerabilidad para descargar archivos de configuración de los dispositivos FortiGate vulnerables y agregaron una cuenta de administrador llamada ‘fortigate-tech-support’. Aunque estos archivos de configuración se recopilaron en 2022, todavía exponen mucha información confidencial sobre las defensas de la red, incluidas las reglas del firewall y las credenciales.
Desde el CSIRT de LACNIC analizamos las direcciones IP relacionadas a la fuga de información, compartidas por Kevin Beaumont en su blog.
(Acceso libre, no requiere suscripción)
La figura anterior muestra el número de direcciones IP expuestas y los países dentro de la región LACNIC que se vieron afectados por la fuga de datos.
Recordemos que esto ya ocurrió años atrás con otra vulnerabilidad:
https://csirt.lacnic.net/advertencias-de-seguridad/vpn-fortinet-filtracion-de-500-000-credenciales
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.