Поделиться
Хакеры выгрузили в Сеть реквизиты доступа к тысячам VPN-устройств Fortinet
Ранее неизвестная группировка решила громко заявить о себе масштабным сливом данных. Эксперты быстро выяснили, что этим данным около двух лет, но часть из них может оставаться актуальными.
1,6 ГБ адресов и паролей
Прежде неизвестная хакерская группировка Belsen Group выгрузила на собственный сайт в даркнете более 15 тыс. реквизитов VPN-доступа к устройствам Fortinet FortiGate. Данные слиты в общий доступ бесплатно, и это, скорее всего, приведет к огромному числу кибератак в ближайшем будущем.
Публикация сопровождается хвастливым сообщением, в котором, однако, содержится упоминание, что скомпрометированные устройства относятся как к частному, так и к правительственному сектору. Пакет размером 1,6 ГБ включает IP-адреса, пароли и данные настроек. Данные распределены по каталогам, с названиями, соответствующими странам, в которых располагаются скомпрометированные эндпойнты.
По данным эксперта по кибербезопасности Кевина Бомона (Kevin Beaumont), к каждому IP-адресу прилагается файл configuration.conf (дамп настроек) и файл vpn-passwords.txt, содержащий пароли в незашифрованном виде. Файлы настроек содержат приватные ключи и правила для файерволлов. Бомон считает, что эта утечка датирована 2022 г. и связана с уязвимостью CVE-2022-40684, которую хакеры успешно эксплуатировали до того, как вендор выпустил обновления. Как написал Бомон, он исследовал одно из скомпрометированных устройств и нашел на нем артефакты, оставшиеся после эксплуатации указанной уязвимости; к тому же в утечке фигурируют тот же логин и пароль, с которыми Бомон уже сталкивался.
Немецкий новостной сайт проанализировал утечку и подтвердил, что ей два года: операционные системы всех фигурирующих в ней устройств относятся к диапазонам версий 7.0.0-7.0.6 или 7.2.0-7.2.2. Новее найти не удалось. Самая свежая версия – 7.2.2 – выпущена 3 октября 2022 г. Кстати, именно она устраняла уязвимость, так что не вполне понятно, каким образом устройства с этой версией оболочки оказались в числе скомпрометированных.
Несмотря на то, что слитые данные нельзя назвать новыми, как минимум часть из них может оставаться актуальной и поныне. По словам Бомона, это касается настроек файерволлов и реквизитов доступа, если их так и не сменили.
Бомон планирует опубликовать список IP-адресов, чтобы администраторы скомпрометированных устройств могли принять меры.
Запоздалые работы над ошибками
«Уязвимости нулевого дня считаются наиболее угрожающими, но если даже после выхода патчей администраторы не устанавливают их и не меняют хотя бы реквизиты доступа, разницы с другими «багами» не остается, – указывает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Не удивлюсь, если более чем значительная часть скомпрометированных устройств в опубликованной «утечке» так и остались без обновлений и с теми же настройками. К сожалению, это совершенно обычная история».
Это не первый случай масштабных утечек данных, относящихся к продуктам Fortinet. В 2021 г. злоумышленники опубликовали реквизиты доступа к полумиллиону VPN-аккаунтов Fortinet, собранных благодаря уязвимости CVE-2018-13379. В 2022 г. Fortinet известил своих клиентов, что его продукты атакуют с использованием CVE-2022–40684; злоумышленники выкачивали файлы настроек со скомпрометированных устройств и добавляли «супер-административный» аккаунт fortigate-tech-support.
Вероятно, значительное число этих устройств до сих пор доступны для злоумышленников.
Поделиться
Короткая ссылка
