Descripción
Investigadores en ciberseguridad han encontrado en un foro de usuarios maliciosos, archivos “sslvpn_websession”, los cuales contienen credenciales de acceso para acceder a las direcciones IP de una lista publicada anteriormente que contenía dispositivos Fortinet VPN vulnerables a la falla CVE-2018-13379 (CVSS v3.1: 9.8 [Crítico]).
El archivo publicado es un “.RAR” de 36MB que al descargar y descomprimir se convierte en 7GB de información. Este revela nombres de usuario, contraseñas en texto claro, niveles de acceso y direcciones IP originales sin cifrar de los usuarios conectados a la VPN.
Los archivos publicados contienen listas marcadas como “pak” que separan las IPs de VPNs con sede en Pakistan de los archivos “sslvpn_websession” pertenecientes al resto de las 49 mil VPNs.
Cabe mencionar, que debido a los datos publicados, la actualización del firmware ya no es suficiente debido a que se han compartido las credenciales de acceso de cada VPN y en el futuro podrían utilizarse para hacer un ataque de relleno de credenciales, tener acceso al sistema y realizar diferentes acciones maliciosas, esto si las contraseñas son reutilizadas o no se han cambiado.
Nivel de riesgo
- CVSS v3.1 : 9.8 [Crítico]
Sistemas/tecnologías afectadas:
- FortiOS versión 5.6.3 al 5.6.7
- FortiOS versión 6.0.0 al 6.0.4
- FortiOS versión 5.4.6 al 5.4.12
Medidas de erradicación
- Aplicar las actualizaciones liberadas por Fortinet a los productos afectados, publicados en : https://www.fortiguard.com/
psirt/FG-IR-18-384 - Cambiar las contraseñas de los dispositivos Fortinet considerando las políticas internas de la organización.
Referencias