TLP: Amber
NIVEL DE RIESGO CVSS v3.1 – 9.8 [Crítico]
Acción Requerida: Aplicar las actualizaciones liberadas por Fortinet y cambiar las contraseñas de los dispositivos afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

Investigadores en ciberseguridad han encontrado en un foro de usuarios maliciosos, archivos “sslvpn_websession”, los cuales contienen credenciales de acceso para acceder a las direcciones IP de una lista publicada anteriormente que contenía dispositivos Fortinet VPN vulnerables a la falla CVE-2018-13379 (CVSS v3.1: 9.8 [Crítico]).

El archivo publicado es un “.RAR” de 36MB que al descargar y descomprimir se convierte en 7GB de información. Este revela nombres de usuario, contraseñas en texto claro, niveles de acceso y direcciones IP originales sin cifrar de los usuarios conectados a la VPN.

Los archivos publicados contienen listas marcadas como “pak” que separan las IPs de VPNs con sede en Pakistan de los archivos “sslvpn_websession” pertenecientes al resto de las 49 mil VPNs.

Cabe mencionar, que debido a los datos publicados, la actualización del firmware ya no es suficiente debido a que se han compartido las credenciales de acceso de cada VPN y en el futuro podrían utilizarse para hacer un ataque de relleno de credenciales, tener acceso al sistema y realizar diferentes acciones maliciosas, esto si las contraseñas son reutilizadas o no se han cambiado.

Nivel de riesgo

  • CVSS v3.1 : 9.8 [Crítico]

Sistemas/tecnologías afectadas:

  • FortiOS versión 5.6.3 al 5.6.7
  • FortiOS versión 6.0.0 al 6.0.4
  • FortiOS versión 5.4.6 al 5.4.12

Medidas de erradicación

  • Aplicar las actualizaciones liberadas por Fortinet a los productos afectados, publicados en : https://www.fortiguard.com/psirt/FG-IR-18-384
  • Cambiar las contraseñas de los dispositivos Fortinet considerando las políticas internas de la organización.

Referencias