Una reciente filtración de datos, denominada “FortiBleed“, ha expuesto lo que parece ser una colección de credenciales VPN de Fortinet y FortiGate para 73,932 URL de firewalls de organizaciones de todo el mundo.
Los datos expuestos fueron descubiertos inicialmente por el investigador de seguridad Bob Diachenko, quien afirmó haber encontrado un servidor que contenía lo que parecían ser credenciales VPN válidas de Fortinet, incluyendo nombres de usuario, direcciones de correo electrónico y contraseñas en texto claro.
De acuerdo con las capturas de pantalla y la información compartida por Diachenko, la base de datos contiene entradas de Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid y muchas otras empresas.
«Se descubre una campaña masiva de ataques de fuerza bruta y explotación activa de Fortinet/FortiGate», publicó Diachenko en LinkedIn.
«Miles de instancias de proveedores líderes aparecen listadas en archivos como este (ver captura de pantalla). Solo este archivo contiene 21 634 nombres de dominio, desde Chevron hasta la propia Fortinet. Todos ellos con contraseñas potencialmente funcionales para los dispositivos FortiGate, obtenidas por diversas vías».
Los datos expuestos también incluían comentarios que detallaban el sector, los ingresos anuales y el número de empleados de cada organización, probablemente para planificar ataques.
Fortinet confirma filtración
Fortinet tiene conocimiento de una campaña de robo de credenciales por parte de terceros dirigida a los firewalls y puertas de enlace VPN de Fortinet.
“Nos comprometemos a proteger a nuestros clientes y supervisamos de forma diligente y continua la actividad de los ciberdelincuentes en la dark web”, declaró al sitio BleepingComputer.
La firma detalló que su investigación indica que la recopilación de credenciales se obtuvo mediante incidentes previos y ataques de fuerza bruta, y que no está vinculada a ninguna vulnerabilidad, brecha de seguridad o aviso de seguridad recientemente revelado.
“Según nuestro análisis, los datos involucrados son una recopilación de datos de incidentes anteriores, así como fuerza bruta de credenciales, y no están relacionados con ningún incidente o aviso reciente. Las organizaciones que siguen las mejores prácticas de rutina, incluida la actualización periódica de las credenciales de seguridad, según la guía de este blog de marzo, enfrentan un riesgo mínimo de los detalles de compromiso de credenciales a los que se hace referencia en el informe”.
Fortinet aseguró que continúa investigando estos informes “con la seguridad de nuestros clientes como nuestra principal prioridad».
Posteriormente, Diachenko compartió información adicional que afirmaba que la operación fue llevada a cabo por un grupo de ciberdelincuentes de habla rusa que robó credenciales para dispositivos FortiGate SSL VPN.
Según la investigación de Diachenko, los atacantes supuestamente realizaron aproximadamente 1 160 millones de intentos de acceso a credenciales contra 320 777 objetivos FortiGate y otros 2 100 millones de intentos contra 163 650 sistemas Microsoft SQL Server.
Además, afirmó que los ciberdelincuentes interceptaron los hashes de autenticación de SSL VPN, los descifraron utilizando un clúster de 45 GPU gestionado mediante Hashtopolis y usaron las credenciales recuperadas para infiltrarse en entornos internos de Directorio Activo (Active Directory).
Diachenko explicó a BleepingComputer que obtuvo estos detalles tras analizar archivos adicionales expuestos accidentalmente en el mismo servidor.
«Dejaron accidentalmente un directorio abierto con artefactos, cadenas de conexión, herramientas, scripts y datos en línea. Los análisis se obtuvieron a través de sus tareas programadas (cron jobs), historiales de bash, logs, etc.», explicó Diachenko.
El investigador también afirmó que varias organizaciones en Japón, Taiwán, Vietnam, Irak y Turquía se vieron completamente comprometidas, incluyendo un contratista de defensa turco de la OTAN del que supuestamente se robaron documentos clasificados.
La empresa de inteligencia de amenazas Hudson Rock publicó posteriormente su propio análisis de los datos expuestos tras recibir el conjunto de datos de Diachenko. La empresa describió la colección como uno de los mayores conjuntos conocidos de credenciales comprometidas relacionadas con Fortinet.
Según Hudson Rock, el conjunto de datos contiene 73 932 URL de firewall únicas en 194 países y afecta a 21 632 dominios únicos.
La empresa afirma que los atacantes mantuvieron logs detallados de las intrusiones exitosas y crearon una base de datos con credenciales verificadas de organizaciones de prácticamente todos los sectores industriales principales.
Entre las organizaciones que, según Hudson Rock, aparecen en el conjunto de datos se encuentran Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle y numerosas agencias gubernamentales y operadores de infraestructura crítica.
La empresa también publicó estadísticas que muestran que el mayor número de dispositivos afectados se encontraba en India, Estados Unidos, Taiwán, México, Turquía, Tailandia, Colombia, Malasia, Chile y los Emiratos Árabes Unidos.
Los sectores más comunes para las empresas incluidas en la lista son telecomunicaciones, servicios de IT, servicios financieros, organizaciones gubernamentales, proveedores de atención médica, instituciones educativas y manufactura.
Un aspecto extraño de la filtración es que muchas de las credenciales expuestas eran contraseñas largas y complejas que normalmente se considerarían difíciles de descifrar.
Hudson Rock ha creado una herramienta gratuita de consulta FortiBleed para verificar si su organización se ha visto afectada.
Las organizaciones incluidas en el conjunto de datos deben cambiar inmediatamente las contraseñas asociadas a las interfaces administrativas y de VPN de Fortinet, implementar la autenticación multifactor (MFA), examinar los logs de la puerta de enlace en busca de actividad sospechosa y supervisar la posible exposición de credenciales de empleados.
