Alguien ha publicado en un foro una lista de casi 50.000 dispositivos VPN de Fortinet vulnerables. En la lista de están presentes los dominios de los principales bancos y organizaciones gubernamentales de todo el mundo.

La vulnerabilidad a la que se hace referencia aquí es CVE-2018-13379, una falla de Path Traversal identificada como FG-IR-18-384 que afecta a una gran cantidad de dispositivos FortiNet FortiOS SSL VPN sin parchear. Al aprovechar esta vulnerabilidad, los atacantes remotos no autenticados pueden acceder a los archivos del sistema a través de solicitudes HTTP especialmente diseñadas.

La lista publicada permite a los atacantes acceder a los archivos sslvpn_websession de las VPN de FortiNet para robar las credenciales de inicio de sesión. Estas credenciales robadas podrían usarse para poner en peligro una red e implementar ransomware. Aunque el error de 2018 se reveló públicamente hace más de un año, los investigadores han detectado alrededor de 50.000 objetivos que aún pueden ser atacados por atacantes. Esta semana, el analista de inteligencia de amenazas Bank_Security encontró un hilo de un foro de hackers donde un actor de amenazas compartió una gran lista de 49.577 dispositivos de tales objetivos explotables.

Después de analizar la lista, se encontró que los objetivos vulnerables incluían dominios gubernamentales de todo el mundo y aquellos que pertenecen a bancos y compañías financieras reconocidos y más de cuatro docenas pertenecían a organizaciones bancarias, financieras y gubernamentales de buena reputación. Bank Security le dijo a BleepingComputer que después de ver la publicación del foro, comenzó a analizar la lista de direcciones IP para identificar qué organizaciones se vieron afectadas. "Para saber mejor qué empresas se vieron afectadas, lancé un nslookup en todas las direcciones IP de la lista y, para muchas de ellas, encontré el dominio asociado". Luego, el analista refinó los resultados obtenidos para identificar nombres de dominio asociados con organizaciones de interés y bancos notables. Aunque este es un error antiguo que es trivial de explotar, las organizaciones tienen un proceso de parcheo "muy lento", lo que permite a los atacantes seguir explotando errores conocidos.

Como informó BleepingComputer el mes pasado, los atacantes aprovecharon la misma falla para irrumpir en los sistemas de apoyo a las elecciones del gobierno de EE. UU. Por lo tanto, se recomienda a los administradores de red y profesionales de la seguridad que parcheen esta grave vulnerabilidad de inmediato.

Fuente: BC