Χάκερ διαρρέουν 15.000 συσκευές FortiGate VPN

Μια νέα ομάδα hacking διέρρευσε τα αρχεία διαμόρφωσης, τις διευθύνσεις IP και τα διαπιστευτήρια VPN για περισσότερες από 15.000 συσκευές FortiGate δωρεάν στον σκοτεινό ιστό, εκθέτοντας πολλές ευαίσθητες τεχνικές πληροφορίες σε άλλους εγκληματίες του κυβερνοχώρου.

Τα δεδομένα διέρρευσαν από την “Belsen Group”, μια νέα ομάδα hacking που εμφανίστηκε για πρώτη φορά στα μέσα κοινωνικής δικτύωσης και στα φόρουμ για το έγκλημα στον κυβερνοχώρο αυτόν τον μήνα. Για να προωθήσουν τον εαυτό τους, ο Όμιλος Belsen δημιούργησε έναν ιστότοπο Tor όπου κυκλοφόρησε δωρεάν τη χωματερή δεδομένων FortiGate για χρήση από άλλους παράγοντες απειλών.

«Στην αρχή του έτους, και ως θετική αρχή για εμάς, και προκειμένου να εδραιωθεί το όνομα της ομάδας μας στη μνήμη σας, είμαστε υπερήφανοι που ανακοινώνουμε την πρώτη επίσημη λειτουργία μας: Θα δημοσιευθούν ευαίσθητα δεδομένα από περισσότερους από 15.000 στόχους σε όλο τον κόσμο (τόσο στον κυβερνητικό όσο και στον ιδιωτικό τομέα) που έχουν παραβιαστεί και τα δεδομένα τους έχουν εξαχθεί», αναφέρεται σε μια ανάρτηση στο φόρουμ hacking.

Η διαρροή FortiGate αποτελείται από ένα αρχείο 1,6 GB που περιέχει φακέλους ταξινομημένους ανά χώρα. Κάθε φάκελος περιέχει επιπλέον υποφακέλους για κάθε διεύθυνση IP του FortiGate στη συγκεκριμένη χώρα.

Σύμφωνα με τον ειδικό σε θέματα κυβερνοασφάλειας Kevin Beaumont, κάθε διεύθυνση IP έχει ένα configuration.conf (Fortigate config dump) και ένα αρχείο vpn-passwords.txt, με μερικούς από τους κωδικούς πρόσβασης σε απλό κείμενο. Οι ρυθμίσεις παραμέτρων περιέχουν επίσης ευαίσθητες πληροφορίες, όπως ιδιωτικά κλειδιά και κανόνες τείχους προστασίας.

Σε ένα ανάρτηση ιστολογίου σχετικά με τη διαρροή του FortiGate, ο Beaumont λέει ότι η διαρροή πιστεύεται ότι συνδέεται με μια μηδενική ημέρα του 2022 που παρακολουθείται ως CVE-2022–40684, η οποία αξιοποιήθηκε σε επιθέσεις πριν από την κυκλοφορία μιας επιδιόρθωσης.

“Έκανα απόκριση περιστατικού σε μία συσκευή σε έναν οργανισμό θύματος και η εκμετάλλευση έγινε πράγματι μέσω CVE-2022–40684 με βάση τα τεχνουργήματα στη συσκευή. Μπόρεσα επίσης να επαληθεύσω τα ονόματα χρήστη και τον κωδικό πρόσβασης που εμφανίζονται στην ένδειξη αντιστοιχούν λεπτομέρειες για τη συσκευή», εξηγεί ο Beaumont.

“Τα δεδομένα φαίνεται να έχουν συγκεντρωθεί τον Οκτώβριο του 2022, ως μηδενική ημέρα vuln. Για κάποιο λόγο, η ένδειξη δεδομένων config κυκλοφόρησε σήμερα, λίγο περισσότερο από 2 χρόνια αργότερα.”

Το 2022, η Fortinet προειδοποίησε ότι οι φορείς απειλών εκμεταλλεύονταν το zero-day που παρακολουθείται ως CVE-2022–40684 για να κατεβάσουν αρχεία διαμόρφωσης από στοχευμένες συσκευές FortiGate και στη συνέχεια να προσθέσουν έναν κακόβουλο λογαριασμό super_admin που ονομάζεται «fortigate-tech-support».

Ο γερμανικός ειδησεογραφικός ιστότοπος Heise ανέλυσε τη διαρροή δεδομένων και είπε επίσης ότι συγκεντρώθηκε το 2022, με όλες τις συσκευές να χρησιμοποιούν υλικολογισμικό FortiOS 7.0.0-7.0.6 ή 7.2.0-7.2.2.

“Όλες οι συσκευές ήταν εξοπλισμένες με FortiOS 7.0.0-7.0.6 ή 7.2.0-7.2.2, οι περισσότερες με έκδοση 7.2.0. Δεν βρήκαμε καμία έκδοση FortiOS στο αρχείο δεδομένων που να ήταν νεότερη από την έκδοση 7.2.2, κυκλοφόρησε στις 3 Οκτωβρίου 2022.” ανέφερε ο Heise.

Ωστόσο, το FortiOS 7.2.2 διόρθωσε το ελάττωμα CVE-2022–40684, επομένως θα ήταν ασαφές πώς οι συσκευές που εκτελούν αυτήν την έκδοση θα μπορούσαν να αξιοποιηθούν με αυτήν την ευπάθεια.

Παρόλο που αυτά τα αρχεία διαμόρφωσης συλλέχθηκαν το 2022, η Beaumont προειδοποιεί ότι εξακολουθούν να εκθέτουν πολλές ευαίσθητες πληροφορίες σχετικά με τις άμυνες ενός δικτύου.

Αυτό περιλαμβάνει κανόνες και διαπιστευτήρια τείχους προστασίας που, εάν δεν αλλάξουν εκείνη τη στιγμή, θα πρέπει να αλλάξουν αμέσως τώρα που τα δεδομένα έχουν δημοσιευτεί σε μια ευρύτερη ομάδα παραγόντων απειλών.

Ο Beaumont λέει ότι σχεδιάζει να κυκλοφορήσει μια λίστα με τις διευθύνσεις IP στη διαρροή, ώστε οι διαχειριστές του FortiGate να μπορούν να γνωρίζουν εάν η διαρροή τους επηρέασε.

Το BleepingComputer επικοινώνησε επίσης τόσο με τους συντελεστές απειλών όσο και με τη Fortinet με ερωτήσεις σχετικά με τη διαρροή και θα ενημερώσει την ιστορία εάν λάβουμε απάντηση.