- El investigador Bob Diachenko descubrió “FortiBleed”, un gran archivo de 73.932 certificados VPN Fortinet/FortiGate procedentes de campañas de fuerza bruta y exploits.
- Los datos incluían nombres de usuario, correos electrónicos y contraseñas en texto plano de las principales empresas (Chevron, Samsung, Toyota, AT&T, contratistas de la OTAN, etc.), con miles de millones de intentos de inicio de sesión.
- Fortinet dice que la filtración es un incidente pasado y una redistribución forzada de datos, lo que requiere rotación de contraseñas y MFA para reducir el riesgo.
Se ha encontrado en línea una base de datos que contiene miles de credenciales de inicio de sesión de importantes corporaciones globales, en una de las filtraciones de datos más grandes de este año.
El investigador de seguridad Bob Diachenko publicó un nuevo informe en LinkedIn, diciendo que descubrió un archivo de certificados VPN de Fortinet y FortiGate, contando 73,932 URL de firewall.
“La campaña masiva de fuerza bruta/explotación activa de Fortinet/FortiGate queda expuesta en acción”, dijo.
Fortinet responde
Dyachenko llamó a la campaña “FortiBleed” y dijo que el archivo contenía nombres de usuario, direcciones de correo electrónico y contraseñas (en texto plano) de empresas como Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec y State Grid.
“Miles de ejemplos de los principales proveedores se enumeran en dichos archivos (ver captura de pantalla). Este solo contiene 21,634 nombres de dominio, desde Chevron hasta Fortinet. Todos, con contraseñas que potencialmente funcionan en dispositivos FortiGate obtenidas a través de diversos medios”.
Dyachenko le dijo a BlipingComputer que el archivo fue creado por un actor de amenazas de habla rusa que recopiló credenciales para instancias de FortiGate SSL VPN. Después de analizar la base de datos, concluyó que los atacantes se abrieron paso, realizando 1,1 mil millones de intentos de autenticación contra más de 320,000 instancias de FortiGate, así como 2,1 mil millones de intentos contra más de 160,600 sistemas Microsoft SQL Server.
Además, también capturan hashes de autenticación SSL VPN que luego descifran y utilizan para iniciar sesión en entornos de Active Directory.
Varias organizaciones en todo el mundo estaban “totalmente comprometidas”, dijo Dianchenko, añadiendo que entre ellas se encontraba el contratista de defensa turco de la OTAN. La agencia supuestamente perdió documentos clasificados como resultado de la infracción.
Varias empresas de seguridad han confirmado la filtración, incluidas Hudson Rock y el investigador de seguridad Kevin Beaumont.
Fortinet dijo a la publicación que la base de datos no proviene de una nueva infracción, sino de una colección de secretos robados en incidentes anteriores.
“Según nuestro análisis, los datos involucrados son la redistribución de datos de incidentes anteriores, así como la fuerza bruta de las credenciales, y no están relacionados con ningún incidente o aviso reciente. Según la guía de este blog de marzo, las organizaciones que siguen las mejores prácticas de rutina, incluida la actualización periódica de las credenciales de seguridad, enfrentan un riesgo mínimo de compromiso. Aún así, cualquier rotación de contraseñas de Fortinet VPN y configuración de MFA siempre que sea posible y ausente no hará daño.
“Fortinet continúa investigando estos informes con la seguridad de nuestros clientes como nuestra máxima prioridad”.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
