Hacker posta exploits para mais de 49.000 VPNs Fortinet vulneráveis
Um hacker publicou uma lista de exploits de uma linha para roubar credenciais VPN de quase 50.000 dispositivos VPN Fortinet.Presentes na lista de alvos vulneráveis estão domínios pertencentes a bancos de grande porte e organizações governamentais de todo o mundo.
A vulnerabilidade a que nos referimos aqui é CVE-2018-13379, uma falha de passagem de caminho que afeta um grande número de dispositivos Fortinet FortiOS SSL VPN não corrigidos.
A exploração postada pelo hacker permite que os invasores acessem os arquivos sslvpn_websession de VPNs Fortinet para roubar credenciais de login. Essas credenciais roubadas podem então ser usadas para comprometer uma rede e implantar ransomware .
Embora o bug de 2018 tenha sido divulgado publicamente há mais de um ano , os pesquisadores identificaram cerca de 50.000 alvos que ainda podem ser alvos de invasores.
Esta semana, o analista de inteligência de ameaças Bank_Security encontrou um tópico de fórum de hackers em que um ator de ameaças compartilhou uma grande lista de 49.577 dispositivos de tais alvos exploráveis.
Depois de analisar a lista, verificou-se que os alvos vulneráveis incluíam domínios governamentais de todo o mundo e aqueles pertencentes a bancos e financeiras conhecidas.
Bancos, finanças e organizações governamentais vulneráveis
Conforme observado pelo BleepingComputer, dos 50.000 domínios, mais de quatro dúzias pertenciam a bancos, finanças e organizações governamentais de renome.
Fonte: BleepingComputer
O Bank Security disse ao BleepingComputer que depois de ver a postagem no fórum, ele começou a analisar a lista de IPs para identificar o que todas as organizações foram afetadas.
“Para descobrir melhor quais empresas foram afetadas, lancei um nslookup em todos os IPs da lista e, para muitos deles, encontrei o domínio associado.”
O analista então refinou os resultados obtidos para identificar nomes de domínio associados a organizações de interesse e bancos notáveis.
O analista disse ainda ao BleepingComputer, embora este seja um bug antigo e trivial de explorar, as organizações têm um processo de correção “muito lento”, permitindo que os invasores continuem explorando bugs conhecidos:
“Esta é uma vulnerabilidade antiga, bem conhecida e facilmente explorada. Os invasores já a usam há muito tempo. Infelizmente, as empresas têm um processo de patching muito lento ou um perímetro de exposição descontrolado na Internet e, por esse motivo, os invasores conseguem explorar essas falhas para comprometer empresas em todos os setores com relativa simplicidade. “
Conforme relatado pelo BleepingComputer no mês passado, a mesma falha foi aproveitada por invasores para invadir os sistemas de apoio às eleições do governo dos EUA .
Os administradores de rede e profissionais de segurança são, portanto, incentivados a corrigir essa vulnerabilidade severa imediatamente.
