Miles de credenciales expuestas de dispositivos Fortinet

21/01/2025

Miles de credenciales expuestas de dispositivos Fortinet

Por Guillermo Pereyra, Analista de Seguridad en LACNIC

Un grupo de criminales ha publicado los archivos de configuración, direcciones IP y las credenciales de acceso de VPN de más de 15.000 dispositivos FortiGate en la dark web. Cada carpeta individual contiene un archivo de volcado de la configuración de Fortigate y un archivo vpn-passwords.txt. Se vió que algunas contraseñas estaban almacenadas en texto claro que puede deberse a una mala configuración del sistema o a la no complejidad de las mismas.

Se cree que la filtración está relacionada con una vulnerabilidad de día cero del año 2022 (CVE-2022-40684). Los atacantes utilizaron esta vulnerabilidad para descargar archivos de configuración de los dispositivos FortiGate vulnerables y agregaron una cuenta de administrador llamada ‘fortigate-tech-support’. Aunque estos archivos de configuración se recopilaron en 2022, todavía exponen mucha información confidencial sobre las defensas de la red, incluidas las reglas del firewall y las credenciales.

Desde el CSIRT de LACNIC analizamos las direcciones IP relacionadas a la fuga de información, compartidas por Kevin Beaumont en su blog.

La figura anterior muestra el número de direcciones IP expuestas y los países dentro de la región LACNIC que se vieron afectados por la fuga de datos.

Leer también:
Técnicas, soluciones y buenas prácticas para mitigar ataques de DDoS

Recordemos que esto ya ocurrió años atrás con otra vulnerabilidad:

https://csirt.lacnic.net/advertencias-de-seguridad/vpn-fortinet-filtracion-de-500-000-credenciales

¿Cómo saber si tengo credenciales expuestas?

Para conocer si vuestra organización está listada en la fuga de información le sugerimos consultar el blog de Kevin Beaumont.

Recomendamos:

  • Actualizar sus dispositivos a las últimas versiones del firmware desde el sitio oficial
  • Deshabilitar la interfaz administrativa HTTP/HTTPS o limitar las direcciones IP desde las que se puede acceder a ella
  • Recomendamos seguir las buenas prácticas mencionadas en la documentación de Fortinet

Referencias:

https://www.bleepingcomputer.com/news/security/hackers-leak-configs-and-vpn-credentials-for-15-000-fortigate-devices

https://doublepulsar.com/2022-zero-day-was-used-to-raid-fortigate-firewall-configs-somebody-just-released-them-a7a74e0b0c7f

Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.

Subscribe
Notify of

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments