Milhares de credenciais de dispositivos Fortinet expostas
21/01/2025
Um grupo de criminosos publicou os arquivos de configuração, endereços IP e credenciais de acesso de VPN de mais de 15.000 dispositivos FortiGate na dark web. Cada pasta contém um arquivo de despejo da configuração do FortiGate e um arquivo vpn-passwords.txt. Constatou-se que algumas senhas estavam armazenadas em texto, claro que pode ser devido a uma configuração ruim do sistema ou pela falta de complexidade destas.
Acredita-se que o vazamento esteja relacionado a uma vulnerabilidade de dia zero de 2022 (CVE-2022-40684). Os invasores usaram essa vulnerabilidade para baixar arquivos de configuração dos dispositivos FortiGate vulneráveis e adicionaram uma conta de administrador chamada ‘fortigate-tech-support’. Embora esses arquivos de configuração tenham sido coletados em 2022, ainda expõem muitas informações confidenciais sobre as defesas da rede, incluindo as regras do firewall e as credenciais.
Desde o CSIRT do LACNIC analisamos os endereços IP relacionados ao vazamento de informações compartilhados por Kevin Beaumont em seu blog.
A figura acima mostra o número de endereços IP expostos e os países dentro da região do LACNIC que foram afetados pelo vazamento de dados.
Lembre-se de que isso já aconteceu anos atrás com outra vulnerabilidade: https://csirt.lacnic.net/advertencias-de-seguridad/vpn-fortinet-filtracion-de-500-000-credenciales
Como sei se minhas credenciais foram expostas?
Para saber se a sua organização está listada no vazamento de dados, sugerimos que confira o blog de Kevin Beaumont.
- Atualizar seus dispositivos para as versões de firmware mais recentes do site oficial
- Desabilitar a interface administrativa HTTP/HTTPS ou limitar os endereços IP desde os quais ela pode ser acessada
- Recomendamos seguir as boas práticas mencionadas na documentação de Fortinet
Referências:
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.