Cabecera-v2-web.jpg

Ciberdelincuente publica exploits para obtener credenciales VPN de dispositivos Fortinet


Fecha: 24/11/2020

Un ciberdelincuente ha filtrado recientemente en línea una lista de exploits que podrían ser utilizados para obtener credenciales VPN de casi 50 mil dispositivos Fortinet VPN. En esta lista de objetivos vulnerables se encuentran presentes dominios que pertenecen a los principales bancos y organizaciones gubernamentales de todo el mundo.

Además, investigadores de seguridad informaron que las 49.775 IPs de la lista son vulnerables a el CVE-2018-13379 de riesgo alto que afecta al portal web de FortiOS SSL VPN. El fallo en cuestión, se trata de una vulnerabilidad de tipo Path Traversal ya parcheada hace más de un año. Sin embargo, actualmente sigue afectando a un gran número de dispositivos Fortinet FortiOS SSL VPN no actualizados.

Las versiones afectadas son:

  • FortiOS en versiones 6.0.0 hasta la 6.0.4;
  • FortiOS en versiones 5.6.3 hasta la 5.6.7;
  • FortiOS en versiones 5.4.6 hasta la 5.4.12.

La explotación exitosa de este fallo podría permitir a un atacante remoto no autenticado acceder a los archivos del sistema a través de solicitudes HTTP especialmente diseñadas. El exploit publicado permitiría a ciberdelincuentes acceder a los archivos sslvpn_websession de Fortinet VPN con el fin de obtener las credenciales. Estas credenciales robadas podrían ser utilizadas posteriormente para comprometer la red e implementar ransomware.

Además, según lo detallado por los investigadores la vulnerabilidad identificada con el CVE-2018-13379 está siendo activamente explotada en combinación con la vulnerabilidad Zerologon (CVE-2020-1472). De acuerdo a los expertos, estos fallos combinados permiten a un atacante tomar control de servidores Fortinet y utilizarlos como un punto de entrada en las redes gubernamentales, para luego, tomar control de las redes internas explotando la vulnerabilidad Zerologon para comprometer todos los servicios de identidad del Active Directory (AD).

Lo más preocupante de los descubrimientos recientes es que a pesar de que la vulnerabilidad identificada con el CVE-2018-13379 es ampliamente conocida, muchas organizaciones aún no la han parcheado, dos años después de su divulgación pública.

Recomendaciones:

  • Actualizar FortiOS a las versiones 5.4.13, 5.6.8 o 6.2.0 y posteriores, desde el siguiente enlace.
  • Verificar si la IP del dispositivo VPN de Fortinet utilizado se encuentra en la lista publicada por los ciberdelincuentes, desde el siguiente enlace.
  • Como una solución temporal, la única mitigación posible es deshabilitar por completo el servicio SSL-VPN (el modo web y túnel) aplicando los siguientes comandos CLI:

commands.png

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11