Uma brecha de segurança crítica, já corrigida pela fabricante, mas não aplicada por usuários e administradores de rede, teria levado ao vazamento de quase 500 mil credenciais de usuários dos serviços de VPN da Fortinet. As senhas teriam sido obtidas a partir de uma raspagem feita em dispositivos da marca, com maioria de usuários na Ásia e Europa.
Mais precisamente, seriam 498,9 mil credenciais de utilizadores corporativos, obtidas a partir de 12,8 mil aparelhos desatualizados. Os países mais atingidos foram a Índia, com 11% dos dispositivos comprometidos, Taiwan (8,45%) e Itália (7,98%). O Brasil aparece na sétima colocação, com 4,28% das entradas. Os dados são da Advanced Intel, especializada em inteligência de ameaças.
O responsável pelo vazamento se autointitula Orange e diz ter verificado que os dados do volume vazado ainda são válidos, com credenciais que podem ser usadas para acessar os serviços da Fortinet e, quem sabe, repetidas em outras plataformas. Caso sejam exploradas, as senhas podem permitir que terceiros maliciosos se infiltrem nas redes para realizar ataques ou extração de informações corporativas sensíveis.
O RAMP, espaço que foi utilizado para liberação do volume, é uma dissidência de um grupo cibercriminoso que ficou conhecido como Babuk. Orange, seu administrador, seria o responsável pelo fórum e por campanhas recentes contra empresas da América do Norte e Europa, sob o nome de Groove, que também publicou o banco de credenciais em seu próprio site. Em ambos os casos, o link é o mesmo e aponta para um servidor na rede Tor, usado pela quadrilha para liberar amostras de informações obtidas após golpes de ransomware.
Ainda de acordo com os analistas, a ideia de divulgar o volume diretamente seria uma forma de divulgar o próprio fórum cibercriminoso e, principalmente, os serviços de ransomware como serviço prestados pela Groove. É um “brinde”, conforme apontou a Advanced Intel ao site Bleeping Computer, que também mostra um pouco do que o próprio bando cibercriminoso é capaz de fazer.
A recomendação aos administradores de sistemas da Fortinet é pela atualização, já que, como dito, a brecha utilizada para extração dos dados foi corrigida em abril e não deveria mais estar disponível nos aparelhos. A todos, o que inclui também usuários, a dica é alterar as senhas de acesso à VPN e outros sistemas ligados aos aparelhos, assim como de contas e perfis que repitam as mesmas credenciais, de forma que o comprometimento de uma não signifique na intrusão de terceiros em todas as outras.
Em comunicado enviado ao Canaltech, a Fortinet disse estar ciente do vazamento de credenciais de seus dispositivos e confirmou que a falta de atualizações foi a responsável por isso. De acordo com a empresa, o patch de correções para a falha utilizada pelos agentes maliciosos foi fornecido em maio de 2019 e, desde então, a companhia vem solicitando a atualização junto a seus clientes — a troca de senhas também é uma solicitação da companhia. Confira a íntegra do pronunciamento:
"A segurança dos nossos clientes é a nossa prioridade. A Fortinet está ciente de que um agente malicioso divulgou credenciais SSL-VPN para acessar dispositivos FortiGate SSL-VPN. As credenciais foram obtidas de sistemas que ainda não implementaram a atualização do patch fornecida em maio de 2019. Desde maio de 2019, a Fortinet tem se comunicado continuamente com os clientes solicitando a implementação de mitigações, incluindo postagens em blogs corporativos em agosto de 2019, julho de 2020, abril de 2021 e junho 2021. Para obter mais informações, consulte nosso blog mais recente. Emitiremos outro comunicado, recomendando fortemente que os clientes implementem a atualização do patch e a redefinição da senha o mais rápido possível".
FONTE:CANALTECH
Nenhum comentário:
Postar um comentário