Fuga de contraseñas en VPN de Fortinet vulnerables

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Advierte sobre una fuga de contraseña que podría afectar a las VPN de Fortinet vulnerables, lo que podría conducir a una posible explotación adicional.

La última alerta de la agencia, emitida el viernes, se produjo unos días después de que los investigadores de seguridad informaron que los actores de amenazas afirman haber publicado las contraseñas filtradas en foros clandestinos.

«Fortinet ha publicado un aviso de seguridad para destacar la mitigación de esta vulnerabilidad», según la notificación. «CISA anima a los usuarios y administradores a revisar el aviso y aplicar las actualizaciones necesarias de inmediato. Además, CISA recomienda a los usuarios de Fortinet que realicen una revisión exhaustiva de los registros en cualquier red conectada para detectar cualquier actividad adicional del actor de amenazas».

CISA señala que los atacantes pueden intentar aprovechar una vulnerabilidad de larga data en los archivos del sistema FortiOS denominados CVE 2018-13379 , que podría conducir a una mayor explotación. Fortinet ha estado instando a sus usuarios a parchear esta falla desde que los investigadores lo descubrieron por primera vez en 2019.

«Tenga en cuenta que se reveló el código para explotar esta vulnerabilidad a fin de obtener las credenciales de los usuarios de VPN SSL que hayan iniciado sesión. Si no se actualiza a las versiones enumeradas anteriormente, se puede mitigar el impacto de esta vulnerabilidad habilitando la autenticación de dos factores para SSL Usuarios de VPN «, según la alerta de Fortinet. «Un atacante no podría utilizar credenciales robadas para hacerse pasar por usuarios de SSL VPN».

Contraseñas filtradas

A principios de este mes, un investigador de seguridad que usa el nombre de Bank_Security señaló en Twitter que los actores de amenazas parecen haber publicado credenciales de texto sin cifrar asociadas con las IP de Fortinet que son vulnerables a CVE-2018-13379. Este error es una vulnerabilidad de nombre de ruta que puede permitir a los piratas informáticos descargar archivos de sistema de los sistemas afectados.

Bank_Security tuiteó por primera vez sobre las contraseñas de Fortinet expuestas el 19 de noviembre. En este tuit, el investigador notó que las contraseñas filtradas pertenecían a 49.577 IP asociadas con las VPN SSL de Fortinet y estaban siendo vendidas por un pirata informático llamado «pumpedkicks».

A principios de esta semana, los investigadores tuitearon que otro hacker, llamado «arendee2018», también está compartiendo las contraseñas de texto sin cifrar. 

La principal preocupación es que, si las VPN de Fortinet no están parcheadas contra las vulnerabilidades, estas credenciales podrían permitir que un atacante regrese y recupere el acceso a la VPN y a la red más grande.