Milhares de credenciais de dispositivos Fortinet expostas
21 de janeiro de 2025
Um grupo de criminosos publicou os arquivos de configuração, endereços IP e credenciais de acesso de VPN de mais de 15.000 dispositivos FortiGate na dark web. Cada pasta contém um arquivo de despejo da configuração do FortiGate e um arquivo vpn-passwords.txt. Constatou-se que algumas senhas estavam armazenadas em texto, claro que pode ser devido a uma configuração ruim do sistema ou pela falta de complexidade destas.
Acredita-se que o vazamento esteja relacionado a uma vulnerabilidade de dia zero de 2022 (CVE-2022-40684). Os invasores usaram essa vulnerabilidade para baixar arquivos de configuração dos dispositivos FortiGate vulneráveis e adicionaram uma conta de administrador chamada ‘fortigate-tech-support’. Embora esses arquivos de configuração tenham sido coletados em 2022, ainda expõem muitas informações confidenciais sobre as defesas da rede, incluindo as regras do firewall e as credenciais.
Desde o CSIRT do LACNIC analisamos os endereços IP relacionados ao vazamento de informações compartilhados por Kevin Beaumont em seu blog.
(Acesso livre, não requer assinatura)
A figura acima mostra o número de endereços IP expostos e os países dentro da região do LACNIC que foram afetados pelo vazamento de dados.
Lembre-se de que isso já aconteceu anos atrás com outra vulnerabilidade: https://csirt.lacnic.net/advertencias-de-seguridad/vpn-fortinet-filtracion-de-500-000-credenciales
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.