Hacker publica exploits para más de 49.000 VPN de Fortinet vulnerables


Un pirata informático publicó una lista de una línea de exploits para robar credenciales de VPN de casi 50.000 dispositivos VPN de Fortinet.

La lista de objetivos vulnerables incluye dominios pertenecientes a bancos y organizaciones gubernamentales de todo el mundo.

Índice()

    Los investigadores encuentran miles de objetivos

    La vulnerabilidad a la que se hace referencia aquí es CVE-2018-13379, una falla transversal de ruta que afecta a una gran cantidad de dispositivos FortiNet FortiOS SSL VPN sin parches.

    Al aprovechar esta vulnerabilidad, los atacantes remotos no autenticados pueden acceder a los archivos del sistema a través de solicitudes HTTP especialmente diseñadas.

    El exploit publicado por el pirata informático permite a los atacantes acceder al archivo sslvpn_websession archivo de FortiNet VPN para robar credenciales de inicio de sesión. Estas credenciales robadas podrían usarse para comprometer una red y distribuir ransomware.

    Aunque el error de 2018 se reveló públicamente hace mas de un año, los investigadores han identificado alrededor de 50.000 objetivos que aún pueden ser atacados por atacantes.

    Esta semana, analista de inteligencia de amenazas Bank_Security encontró un hilo en el foro de piratas informáticos donde un actor de amenazas compartió una lista extensa de 49.577 dispositivos de tales objetivos explotables

    Bank_Security localiza los dominios
    El investigador encuentra un hilo con hosts vulnerables
    Fuente: Twitter

    Después de analizar la lista, se encontró que los objetivos vulnerables incluían dominios gubernamentales de todo el mundo y los que pertenecen a bancos y compañías financieras reconocidos.

    Bancos vulnerables, organizaciones financieras y gubernamentales

    Como señaló BleepingComputer, de 50.000 dominios, más de cuatro docenas pertenecían a organizaciones bancarias, financieras y gubernamentales de buena reputación.

    Los dominios gubernamentales y los sitios web de los principales bancos siguen siendo vulnerables a CVE-2018-13379
    Los dominios gubernamentales y los sitios web de los principales bancos siguen siendo vulnerables a CVE-2018-13379
    Fuente: BleepingComputer

    Seguridad bancaria le dijo a BleepingComputer después de ver la publicación del foro, comenzó a analizar la lista de IP para identificar qué organizaciones se vieron afectadas.

    "Para saber mejor qué empresas se vieron afectadas, lancé un nslookup en todas las IP de la lista y para muchas de ellas encontré el dominio asociado ".

    Luego, el analista refinó los resultados para identificar nombres de dominio asociados con organizaciones de interés y bancos importantes.

    El analista le dijo además a BleepingComputer, aunque este es un error antiguo que es trivial de explotar, las organizaciones tienen un proceso de parcheo "muy lento", que permite a los atacantes continuar explotando errores conocidos:

    "Esta es una vulnerabilidad antigua, bien conocida y fácilmente explotada. Los atacantes la han estado usando durante mucho tiempo. Desafortunadamente, las empresas tienen un proceso de parcheo muy lento o un perímetro de exposición incontrolado en Internet, razón por la cual los atacantes tienen problemas. capaz de explotar estos defectos para comprometer a empresas de todos los sectores con relativa sencillez ”.

    Como informó BleepingComputer el mes pasado, los atacantes aprovecharon la misma falla para irrumpir en los sistemas de apoyo electoral del gobierno de EE. UU.

    Por lo tanto, se alienta a los administradores de red y profesionales de la seguridad a corregir esta grave vulnerabilidad de inmediato.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir