Hacker lækker loginoplysninger

Fortinet, der er en verdensomspændende leverandør af netværkssikkerhedsudstyr inden for Unified Threat Management (UTM), har bekræftet, overfor The Hacker News, at en uautoriseret aktør har afsløret VPN-loginnavne og adgangskoder, der er forbundet med 87.000 FortiGate SSL-VPN-enheder.

I en erklæring fra virksomheden fortølles det, at legitimationsoplysningerne blev hentet fra systemer, der forblev upatched mod CVE-2018-13379 på tidspunktet for hackerens scanning. Selv om data siden har været patched, så forbliver de sårbare, hvis adgangskoderne ikke blev nulstillet.

Afsløringen kommer efter, at hackeren lækkede en liste over Fortinet-legitimationsoplysninger gratis på et nyt russisktalende forum kaldet RAMP, der blev lanceret i juli 2021, såvel som på Groove ransomwares datalækagewebsted. Her bemærkede Advanced Intel, at “”listen med stjålne data indeholder rå adgang til de bedste virksomheder”, der spænder over 74 lande, herunder også danske virksomheder. “2.959 ud af 22.500 ofre er amerikanske enheder,” blev yderligere bemærket.

CVE-2018-13379 vedrører en sårbarhed i forbindelse med kørsel af stien i FortiOS SSL VPN-webportalen, som gør det muligt for ikke-godkendte angribere at læse vilkårlige systemfiler, herunder sessionsfilen, som indeholder brugernavne og adgangskoder, der er gemt i almindelig tekst.

Selvom fejlen blev rettet i maj 2019, er sikkerhedssvagheden gentagne gange blevet udnyttet af flere hackere til at implementere en række ondsindede handlinger på ikke-opdaterede enheder. Det fik i øvrigt Fortinet til at udstede en række bulletiner i august 2019, juli 2020, april 2021 og igen i juni 2021, der opfordrede kunderne til at opgradere berørte apparater.

CVE-2018-13379 viste sig desuden som en af de mest udnyttede fejl i 2020, ifølge en liste udarbejdet af efterretningstjenester i Australien, Storbritannien og USA tidligere på året.

I lyset af lækagen anbefaler Fortinet virksomheder straks at deaktivere alle VPN’er, opgradere enhederne til FortiOS 5.4.13, 5.6.14, 6.0.11 eller 6.2.8 og yderligere efterfulgt af at starte en adgangskode, der dækker hele organisationen og lægge en advarsel om, at man forbliver sårbar efter opgraderingen, hvis ens brugers legitimationsoplysninger tidligere blev kompromitteret.

Kilde: The Hacker news

Scroll til toppen