De gegevens van ongeveer 50.000 Fortinet FortiGate VPN-systemen liggen op straat. De hacker kon dit bereiken door een kwetsbaarheid in de systemen.
De database is 6,7 gigabite en wordt aangeboden op fora die veel gebruikt worden onder hackers. De hacker adverteert het alszijnde “het meest complete archief met daarin alle exploitlinks en sslvpn-websessiebestanden (inclusief gebruikersnamen en wachtwoorden). Ook zouden er linkjes en bestanden van alle websessies bekend zijn bij de hacker. De slachtoffers zijn banken, telecombedrijven en overheden.
Fortinet
De hacker gebruikt de naam arendee2018. Het is waarschijnlijk niet dezelfde persoon als die 19 november toesloeg en data stal. Die hacker, genaamd pumpedkicks, heeft juist allerlei exploits voor de Fortinet FortiGate-IP-adressen gepubliceerd. Daar was ook een kwetsbaarheid op te vinden genaamd CVE-2018-13379. Die naam, arendee2018, zou een verwijzing naar de kwetsbaarheid kunnen zijn. In ieder geval is het overduidelijk dat de hacker gebruik heeft gemaakt van de eerder vrijgegeven informatie.
De kwetsbaarheid werd in augustus 2018 ontdekt door Taiwanese onderzoekers. Zij beschreven het als een path traversal-zwakte in het ForiOS SSL VPN-webportal die ervoor kan zorgen dat iemand zonder authenticatie FortiOS-systeembestanden kan downloaden door middel van speciaal gemaakte HTTP-bronverzoeken. Hier acteerde Fortinet in mei 2019 op met een patch, met in augustus 2019 nogmaals het verzoek om er een patch voor te downloaden.
Security
Fortinet is zich erg bewust van de vele dreigingen. In juli dit jaar heeft het nog gewaarschuwd dat er bekende hackersgroepen zijn die de kwetsbaarheid gebruiken om onder andere de ontwikkeling van een coronavirusvaccin te verstoren. Ze zouden het nu vooral gemunt hebben op onderzoeksfaciliteiten in Canada, maar er wordt ook in het Verenigd Koninkrijk gevreesd, schrijft SiliconAngle.
Ben je ook Fortinet-klant, dan wordt aangeraden om alle FortiGate-systemen die je hebt direct van de upgrade te voorzien. Zorg dat je systemen zijn voorzien van de laatste firmware en dat alle SSL-VPN-gebruikers gevalideerd zijn, inclusief wachtwoordreset.
2 dagen geleden
