En un foro online se ha publicado una lista de casi 500.000 nombres de inicio de sesión y contraseñas de VPN de Fortinet que aparentemente fueron extraídos de dispositivos vulnerables. En dicha lista se encuentran aproximadamente 75 IPs que corresponden a Paraguay.
La vulnerabilidad explotada de Fortinet fue identificada como CVE-2018-13379 de severidad crítica con una puntuación 9.8 y se debe a una limitación inadecuada de un nombre de ruta a un directorio restringido («Path Traversal») en Fortinet FortiOS versiones 6.0.0 a 6.0.4, 5.6.3 a 5.6.7 y 5.4.6 a 5.4.12 y FortiProxy versiones 2.0.0, 1. 2.0 a 1.2.8, 1.1.0 a 1.1.6, 1.0.0 a 1.0.7 bajo el portal web SSL VPN permite a un atacante no autenticado descargar archivos del sistema a través de solicitudes de recursos HTTP especialmente diseñadas.
Esta filtración es un incidente grave, ya que las credenciales de VPN podrían permitir que los atacantes accedan a una red para realizar la exfiltración de datos, instalar malware y realizar ataques de ransomware, por ejemplo. Si bien la vulnerabilidad ha sido parcheada muchas credenciales de VPN filtradas siguen siendo válidas. Además, existen todavía múltiples equipos vulnerables que no han sido parchados hasta hoy en día.
Desde el CERT-PY recomendamos deshabilitar todas las VPN (SSL-VPN o IPSEC) que puedan estar habilitadas hasta que se hayan tomado los siguientes pasos de corrección:
- Actualizar a FortiOS 5.4.13, 5.6.8, 6.0.5 o 6.2.0 y superior.
- Tratar todas las credenciales como potencialmente comprometidas y realizar un restablecimiento de contraseña en toda la organización.
- Implementar la autenticación multifactor, que ayudará a mitigar el abuso de cualquier credencial comprometida.
Desde el CERT-PY se ha notificado a todas las organizaciones paraguayas que han podido ser identificadas.
Información adicional: