Aanvaller geeft inloggegevens vrij voor 87.000 FortiGate SSL VPN-apparaten

Fortinet heeft gewaarschuwd dat 87.000 sets inloggegevens voor FortiGate SSL VPN-apparaten online zijn gepubliceerd.

Het in Californië gevestigde cyberbeveiligingsbedrijf zei woensdag dat het op de hoogte is van de onthulling en na onderzoek van het incident tot de conclusie is gekomen dat de inloggegevens zijn verkregen door gebruik te maken van CVE-2018-13379.

CVE-2018-13379 is een bekende beveiligingsfout die van invloed is op de portal van de FortiOS SSL VPN-webtunnelsoftware. De bug is gepatcht en er is een fix uitgebracht in 2019, inclusief beperking van tweefactorauthenticatie. Bijna twee jaar later is de kwetsbaarheid echter weer op de voorgrond gekomen met de online vrijgave van gestolen inloggegevens.

Fortinet zegt dat de gestolen informatie “verkregen is van systemen die niet zijn gepatcht” op het moment dat een aanvaller een webscan uitvoerde op kwetsbare apparaten.

Als wachtwoorden voor FortiOS SSL VPN-builds sinds deze scan niet zijn gewijzigd, zegt Fortinet dat ze kwetsbaar blijven voor compromissen. Bovendien, aangezien FortiOS SSL VPN populair is bij zakelijke gebruikers, zou dit een mogelijkheid kunnen worden voor netwerkaanvallen.

“Houd er rekening mee dat het opnieuw instellen van het wachtwoord na een upgrade van cruciaal belang is voor de bescherming tegen dit beveiligingslek, voor het geval de inloggegevens al zijn gecompromitteerd”, zegt het bedrijf.

CVE-2018-13379 werd gerapporteerd door Meh Chang en Orange Tsai van DEVCORE. De bug wordt beschreven als een pathtraversal-fout en stelt niet-geverifieerde aanvallers in staat om systeembestanden te downloaden via speciaal vervaardigde HTTP-resourceverzoeken. De kritieke kwetsbaarheid kreeg een CVSS-score van 9,8.

FortiOS 6.0 – 6.0.0 tot 6.0.4, FortiOS 5.6 – 5.6.3 tot 5.6.7 en FortiOS 5.4 – 5.4.6 tot 5.4.12 worden getroffen door de bug en zijn kwetsbaar wanneer de SSL VPN-service is ingeschakeld.

Zoals opgemerkt door AdvIntel, is de dump door de Groove ransomware-groep op hun leksite geplaatst. De dreigingsactoren zeiden: ‘alles is als geldig gecontroleerd’ (Russisch, vertaald), maar dit is niet geverifieerd.

via Kela

Het bedrijf heeft klanten eerder gewaarschuwd dat deze kwetsbaarheid wordt bewapend door hackgroepen in het wild (1,2). In juni bracht de FBI een advies (.PDF) uit waarin stond dat CVE-2018-13379 met succes was gebruikt om een ​​webserver te infiltreren die een domein van de Amerikaanse gemeentelijke overheid host.

“Sinds deze kwetsbaarheden voor het eerst werden ontdekt, heeft Fortinet uitgebreide stappen ondernomen om klanten te informeren en voor te lichten en hen herhaaldelijk aan te sporen hun getroffen systemen te upgraden naar de nieuwste patch-release”, zei het bedrijf in juni. “Het is een scenario dat software- en firmware-ontwikkelaars maar al te goed kennen. Fortinet en organisaties zoals het NCSC, FBI en CISA hebben de afgelopen twee jaar 15 afzonderlijke meldingen en adviezen aan Fortinet-klanten uitgegeven, waarin ze worden gewaarschuwd voor de risico’s van het niet updaten van de getroffen systemen en het verstrekken van links naar kritieke patches.”

Als gebruikers vermoeden dat ze mogelijk betrokken zijn geweest bij de inbreuk vanwege het niet vernieuwen van hun inloggegevens, raadt de techgigant aan om VPN-services tijdelijk uit te schakelen terwijl organisaties hun wachtwoord opnieuw instellen.

Fortinet dringt er ook bij klanten op aan om te upgraden naar FortiOS 5.4.13, 5.6.14, 6.0.11 of 6.2.8 en hoger, die de nodige beveiligingsoplossingen bevatten.

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0


Posted By : keluaran sidney hari ini