Miles de credenciales expuestas de dispositivos Fortinet
21/01/2025
Por Guillermo Pereyra, Analista de Seguridad en LACNIC
Un grupo de criminales ha publicado los archivos de configuración, direcciones IP y las credenciales de acceso de VPN de más de 15.000 dispositivos FortiGate en la dark web. Cada carpeta individual contiene un archivo de volcado de la configuración de Fortigate y un archivo vpn-passwords.txt. Se vió que algunas contraseñas estaban almacenadas en texto claro que puede deberse a una mala configuración del sistema o a la no complejidad de las mismas.
Se cree que la filtración está relacionada con una vulnerabilidad de día cero del año 2022 (CVE-2022-40684). Los atacantes utilizaron esta vulnerabilidad para descargar archivos de configuración de los dispositivos FortiGate vulnerables y agregaron una cuenta de administrador llamada ‘fortigate-tech-support’. Aunque estos archivos de configuración se recopilaron en 2022, todavía exponen mucha información confidencial sobre las defensas de la red, incluidas las reglas del firewall y las credenciales.
Desde el CSIRT de LACNIC analizamos las direcciones IP relacionadas a la fuga de información, compartidas por Kevin Beaumont en su blog.
La figura anterior muestra el número de direcciones IP expuestas y los países dentro de la región LACNIC que se vieron afectados por la fuga de datos.
Recordemos que esto ya ocurrió años atrás con otra vulnerabilidad:
https://csirt.lacnic.net/advertencias-de-seguridad/vpn-fortinet-filtracion-de-500-000-credenciales
(Acceso libre, no requiere suscripción)
¿Cómo saber si tengo credenciales expuestas?
Para conocer si vuestra organización está listada en la fuga de información le sugerimos consultar el blog de Kevin Beaumont.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.