A vulnerabilidade a que nos referimos aqui é CVE-2018-13379, uma falha de passagem de caminho que afeta um grande número de dispositivos Fortinet FortiOS SSL VPN não corrigidos.
A exploração postada pelo hacker permite que os invasores acessem os arquivos sslvpn_websession de VPNs Fortinet para roubar credenciais de login. Essas credenciais roubadas podem então ser usadas para comprometer uma rede e implantar ransomware .
Embora o bug de 2018 tenha sido divulgado publicamente há mais de um ano , os pesquisadores identificaram cerca de 50.000 alvos que ainda podem ser alvos de invasores.
Esta semana, o analista de inteligência de ameaças Bank_Security encontrou um tópico de fórum de hackers em que um ator de ameaças compartilhou uma grande lista de 49.577 dispositivos de tais alvos exploráveis.
Depois de analisar a lista, verificou-se que os alvos vulneráveis incluíam domínios governamentais de todo o mundo e aqueles pertencentes a bancos e financeiras conhecidas.
Conforme observado pelo BleepingComputer, dos 50.000 domínios, mais de quatro dúzias pertenciam a bancos, finanças e organizações governamentais de renome.
O Bank Security disse ao BleepingComputer que depois de ver a postagem no fórum, ele começou a analisar a lista de IPs para identificar o que todas as organizações foram afetadas.
“Para descobrir melhor quais empresas foram afetadas, lancei um nslookup em todos os IPs da lista e, para muitos deles, encontrei o domínio associado.”
O analista então refinou os resultados obtidos para identificar nomes de domínio associados a organizações de interesse e bancos notáveis.
O analista disse ainda ao BleepingComputer, embora este seja um bug antigo e trivial de explorar, as organizações têm um processo de correção “muito lento”, permitindo que os invasores continuem explorando bugs conhecidos:
“Esta é uma vulnerabilidade antiga, bem conhecida e facilmente explorada. Os invasores já a usam há muito tempo. Infelizmente, as empresas têm um processo de patching muito lento ou um perímetro de exposição descontrolado na Internet e, por esse motivo, os invasores conseguem explorar essas falhas para comprometer empresas em todos os setores com relativa simplicidade. “
Conforme relatado pelo BleepingComputer no mês passado, a mesma falha foi aproveitada por invasores para invadir os sistemas de apoio às eleições do governo dos EUA .
Os administradores de rede e profissionais de segurança são, portanto, incentivados a corrigir essa vulnerabilidade severa imediatamente.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…