Un grupo de criminales ha publicado los archivos de configuración, direcciones IP y las credenciales de acceso de VPN de más de 15.000 dispositivos FortiGate en la dark web. Cada carpeta individual contiene un archivo de volcado de la configuración de Fortigate y un archivo vpn-passwords.txt. Se vió que algunas contraseñas estaban almacenadas en texto claro que puede deberse a una mala configuración del sistema o a la no complejidad de las mismas.
Desde el CSIRT de LACNIC analizamos las direcciones IP relacionadas a la fuga de información, compartidas por Kevin Beaumont en su blog.
La figura anterior muestra el número de direcciones IP expuestas y los países dentro de la región LACNIC que se vieron afectados por la fuga de datos.
Recordemos que esto ya ocurrió años atrás con otra vulnerabilidad:
https://csirt.lacnic.net/advertencias-de-seguridad/vpn-fortinet-filtracion-de-500-000-credenciales
¿Cómo saber si tengo credenciales expuestas?
Para conocer si vuestra organización está listada en la fuga de información le sugerimos consultar el blog de Kevin Beaumont.
- Actualizar sus dispositivos a las últimas versiones del firmware desde el sitio oficial
- Deshabilitar la interfaz administrativa HTTP/HTTPS o limitar las direcciones IP desde las que se puede acceder a ella
- Recomendamos seguir las buenas prácticas mencionadas en la documentación de Fortinet
Referencias:
________________________________________________
Como parte de nuestro servicio de vulnerabilidades emergentes, realizamos un monitoreo proactivo del perímetro de nuestros clientes para identificar, detectar y notificar de manera urgente la presencia de esta y otras amenazas críticas que puedan comprometer la seguridad de sus activos. 🛡️🌐
¡Gracias por confiar en nosotros como su aliado! 🔒 Juntos estamos construyendo un mundo digital más seguro.
