Blog Widefense

[COMUNICADO DE SEGURIDAD] Caso Filtración Credenciales Fortinet

Escrito por Marcelo Carvajal | 09-sep-21
  El pasado 7 de septiembre se dio a conocer que un actor de amenazas filtró una lista de casi 500.000 nombres de inicio de sesión y contraseñas de VPN de Fortinet que supuestamente fueron extraídos de dispositivos explotables en meses anteriores durante este mismo año. Si bien la vulnerabilidad con la cual el actor extrajo esta información ya ha sido parchada por Fortinet, afirman que muchas credenciales de VPN siguen siendo válidas y en uso por usuarios finales. Esta filtración es un incidente grave, ya que las credenciales de VPN podrían permitir que los actores de amenazas accedan a una red para realizar la exfiltración de datos, instalar malware y realizar ataques de ransomware. La lista de credenciales de Fortinet fue filtrada de forma gratuita por un actor de amenazas conocido como ‘Orange’, que es el administrador del foro RAMP recién lanzado y un operador anterior de la operación Babuk Ransomware. El 7 de septiembre, el atacante creó una publicación en el foro RAMP con un enlace a un archivo que supuestamente contiene miles de cuentas VPN de Fortinet. No está claro por qué el actor de amenazas publicó las credenciales en lugar de usarlas para sí mismos, pero se cree que se hizo para promover el foro de piratería RAMP y la operación de ransomware como servicio Groove. Fortinet CVE-2018-13379 fue la vulnerabilidad explotada para recolectar las credenciales.
 

Recomendación CSOC Widefense

 

Se recomienda verificar la lista de credenciales y se debe asumir que muchas de todas las credenciales podrían estar expuestas. Se recomienda tomar en consideración los siguientes puntos:

 
  • Restablecimiento forzado de todas las contraseñas de los usuarios para estar seguro y verificar sus registros en busca de posibles intrusiones.
  • Asegurarse de inmediato de tener instalados los últimos parches en los Firewall Fortinet.
  • Verificar los patrones de comportamiento de los usuarios que se han conectado por VPN Fortinet en base a su comportamiento habitual.

Referencia: https://www.bleepingcomputer.com/news/security/hackers-leak-passwords-for-500-000-fortinet-vpn-accounts/

 

Protege a tu organización con Acceso Remoto Privilegiado

 

Las VPNs son frágiles y se requiere una alternativa sólida para evitar este tipo de vulnerabilidades y sorpresas.

 

Existen soluciones PRA (Acceso Remoto Privilegiado), que hacen un control de acceso basado en sesiones, con auditoria y restricciones granulares. Estas soluciones están basadas en un modelo zero trust y least previlege, es decir que no se permite el acceso directo, sino que los dispositivos internos se conectan al servidor del acceso remoto y le pasa al usuario final las imágenes de servidor final. De esta manera, NO hay una conexión directa entre el usuario y los equipos, como pasa con las VPNs, una puerta abierta a la infraestructura de su compañía.

 

Widefense Ciberdefensa

 

¿Desea más información? Agende una breve sesión con un especialista de Widefense para que conozca con detalle cómo Widefense lo puede acompañar en su estrategia de ciberdefensa. Conversa con uno de nuestros especialistas en contacto@widefense.com, agenda una asesoría en Chile +56 9 7569 9259 o Colombia +57 3155 097 765 o escríbenos vía WhatsApp.