Hackers vazam configurações e credenciais VPN de 15.000 dispositivos FortiGate

Um novo grupo de hackers vazou gratuitamente na dark web arquivos de configuração, endereços IP e credenciais VPN de mais de 15.000 dispositivos FortiGate, expondo uma grande quantidade de informações técnicas sensíveis para outros cibercriminosos.

Os dados foram divulgados pelo "Belsen Group", um novo grupo hacker que surgiu este mês em redes sociais e fóruns de crimes cibernéticos. Para promover suas atividades, o grupo criou um site na rede Tor onde disponibilizou o vazamento dos dados do FortiGate gratuitamente para uso por outros hackers.

"No início do ano, e como um começo positivo para nós, e com o objetivo de solidificar o nome do nosso grupo na sua memória, temos o orgulho de anunciar nossa primeira operação oficial: a publicação de dados sensíveis de mais de 15.000 alvos em todo o mundo (tanto no setor governamental quanto no privado) que foram hackeados e tiveram seus dados extraídos", diz uma postagem em um fórum hacker.

O vazamento contém um arquivo compactado de 1,6 GB, organizado em pastas por país. Cada pasta possui subpastas correspondentes aos endereços IP de dispositivos FortiGate naquele país.

Segundo o especialista em cibersegurança Kevin Beaumont, cada endereço IP contém um arquivo configuration.conf (dump de configuração do FortiGate) e um arquivo vpn-passwords.txt, sendo que algumas senhas estão em texto puro. Os arquivos de configuração também incluem informações sensíveis, como chaves privadas e regras de firewall.

Em um post sobre o vazamento, Beaumont afirma que o incidente está relacionado a uma vulnerabilidade zero-day de 2022, rastreada como CVE-2022-40684, explorada em ataques antes que a correção fosse lançada.

"Realizei uma análise de resposta a incidentes em um dispositivo de uma organização vítima, e a exploração foi, de fato, via CVE-2022-40684, com base nos artefatos encontrados no dispositivo. Também verifiquei que os nomes de usuários e senhas vistos no vazamento correspondem aos detalhes no dispositivo", explica Beaumont.

"Os dados parecem ter sido reunidos em outubro de 2022, devido a uma vulnerabilidade zero-day. Por algum motivo, o vazamento do arquivo de configuração ocorreu apenas hoje, pouco mais de dois anos depois."

Em 2022, a Fortinet alertou que hackers estavam explorando essa vulnerabilidade para baixar arquivos de configuração de dispositivos FortiGate e adicionar uma conta maliciosa com privilégios de superadministrador chamada fortigate-tech-support.

O site alemão Heise analisou o vazamento e confirmou que os dados foram coletados em 2022, com todos os dispositivos utilizando o firmware FortiOS nas versões 7.0.0-7.0.6 ou 7.2.0-7.2.2.

"Todos os dispositivos estavam equipados com FortiOS 7.0.0-7.0.6 ou 7.2.0-7.2.2, a maioria na versão 7.2.0. Não encontramos nenhuma versão do FortiOS no pacote de dados que fosse mais recente que a 7.2.2, lançada em 3 de outubro de 2022", informou o Heise.

No entanto, o FortiOS 7.2.2 corrigiu a falha CVE-2022-40684, o que levanta dúvidas sobre como dispositivos rodando essa versão poderiam ser explorados por essa vulnerabilidade.

Embora esses arquivos de configuração tenham sido coletados em 2022, Beaumont alerta que eles ainda expõem muitas informações sensíveis sobre as defesas de uma rede, como regras de firewall e credenciais. Caso essas informações não tenham sido alteradas na época, é urgente que sejam atualizadas agora, já que os dados foram amplamente divulgados.

Beaumont planeja divulgar uma lista com os endereços IP vazados para que administradores de FortiGate possam verificar se foram afetados.

Via - BB