Fuga masiva de datos expone 15,000 Firewalls FortiGate

.

Recientemente, se ha reportado una filtración masiva que afecta a más de 15,000 configuraciones de firewalls FortiGate, comprometiendo credenciales VPN y otros datos sensibles. Este incidente ha sido atribuido al grupo «Belsen Group» y pone en riesgo la seguridad de miles de organizaciones a nivel global.

Fortinet había alertado en 2022 sobre la vulnerabilidad del día cero  con CVE-2022-40684 y CVSS: 9.8, que estaba siendo activamente explotado para atacar firewalls FortiGate. Según el experto en ciberseguridad Kevin Beaumont, la información filtrada fue recopilada en octubre de 2022 mediante esta vulnerabilidad. Beaumont confirmó: «La explotación se realizó a través de CVE-2022-40684, basado en artefactos presentes en los dispositivos comprometidos.»

La fuga de información de la red ha revelado configuraciones completas de firewalls, certificados utilizados para gestionar dispositivos, credenciales de acceso a VPN en texto plano y datos sensibles, como números de serie únicos.

Entre los productos afectados se encuentran los firewalls FortiGate configurados hasta octubre de 2022, junto con las credenciales de VPN y las configuraciones de firewall que han sido expuestas públicamente. También están en riesgo las organizaciones cuyos dispositivos no fueron completamente asegurados tras la explotación inicial en 2022.

.

Solución:

Actualizar los dispositivos afectados con los parches más recientes desde 2022. Sin embargo, es importante considerar que organizaciones cuyos dispositivos fueron explotados antes del parche, deben asumir que las configuraciones podrían estar comprometidas y tomar medidas correctivas adicionales como: actualizar las configuraciones de seguridad, cambiar las credenciales comprometidas y reforzar las medidas de seguridad

.

Recomendaciones:

• Actualizar los firewalls FortiGate a la última versión disponible y aplicar los parches de seguridad.
• Revisar y revocar las credenciales comprometidas, incluyendo las asociadas a VPN y certificados digitales.
• Implementar monitoreo continuo para identificar actividades inusuales o intentos de acceso no autorizados.

.

Referencias:

• https://www.bleepingcomputer.com/news/security/hackers-leak-configs-and-vpn-credentials-for-15-000-fortigate-devices/
• https://securityonline.info/15000-fortigate-firewalls-exposed-massive-leak-includes-vpn-credentials/