Exploraciones de una línea para casi 50.000 dispositivos VPN de Fortinet expuestos

Un analista de amenazas de Intel informó haber visto a un pirata informático que enumeraba exploits de una línea para más de 49,000 dispositivos Fortinet FortiOS SSL VPN. Y cuando se decodifican a partir de las direcciones IP mencionadas, docenas de ellas están vinculadas a bancos populares, organizaciones gubernamentales y varias empresas. Explorar las VPN de Fortinet puede filtrar sus credenciales de inicio de sesión en la red.

Miles de dispositivos Fortinet vulnerables en la naturaleza

Explotaciones de una línea para casi 50.000 dispositivos VPN de Fortinet expuestos

Un analista de inteligencia de amenazas llamado Bank_Security en Twitter publicó capturas de pantalla de una publicación en la que un pirata informático en un foro de la web oscura enumeraba exploits para secuestrar 49.577 vulnerables Fortinet FortiOS SSL VPN dispositivos. Con todos los dispositivos listados con sus direcciones IP, rastrearlos ha mostrado resultados intrigantes.

A partir de una nslookup realizado por el analista, se sabe que alrededor de 50.000 dispositivos en estos dispositivos VPN de Fortinet son vulnerables a los ataques. Muchos de ellos pertenecen a bancos populares, agencias gubernamentales y algunas empresas privadas.

La vulnerabilidad, rastreada como CVE-2018-13379, fue un paso a través que se encontró en una amplia gama de dispositivos Fortinet FortiOS SSL VPN en 2018.

Aunque se encontró hace dos años y se lanzó públicamente el año pasado, las empresas que lo usan son lo suficientemente lentas para actualizar a las versiones parcheadas para protegerse.

Aprovechar esta falla permite a los piratas informáticos acceder a archivos del sistema de destino a través de una solicitud HTTP especialmente diseñada. Además, los lleva a la archivos sslvpn_websession a través de las VPN de Fortinet, donde se almacenan las credenciales de inicio de sesión de la red.

Robarlos les da a los piratas informáticos la opción de ingresar a la red, propagarse hacia los lados, establecer puertas traseras e invitar al malware ransomware para encriptarlos eventualmente. Los operadores de ransomware incluso han crecido con nuevos métodos, como técnicas de doble extorsión para obligar a las víctimas a pagar el rescate.

Por lo tanto, se recomienda a los administradores de red de las empresas que utilizan estas VPN FortiNet vulnerables que las actualicen a versiones con los últimos parches.