venerdì 27 novembre 2020

Le VPN sono sicurissime! Ma ne siamo proprio sicuri? Il caso FortinetVPN e l'annoso problema delle patch

La notizia rimbalza da un paio di giorni su tutte le community di cybersecurity e di cyber attivisti: uno sconosciuto attaccante ha diffuso le credenziali di quasi 50.000 VPN Fortinet vulnerabili. Per capire la gravità del fatto è sufficiente dire che nell'elenco degli obiettivi vulnerabili sono presenti domini appartenenti a banche, aziende e perfino enti governativi nel mondo. 1370 sono le credenziali esposte afferenti ad utenti italiani.

I file pubblicati espongono username, password e IP non nascosti
La vicenda inizia lo scorso fine settimana, quando un attaccante non identificato ha pubblicato un lungo elenco di one-line exploit per la vulnerabilità CVE-2018-13379: exploit che rendono possibile sfruttare la falla per rubare le credenziali VPN da svariate tipologie di dispositivi. 

L'exploit della falla FortiOS di livello critico CVE-2018-13379 consente ad un attaccante di avere accesso ai file "sslvpn_websession", che contengono informazioni sensibili provenienti dalla VPN Fortinet. Questi file contengono informazioni relative alla sessione i corso ma, più importante, possono rivelare in chiaro nome utente e password degli utenti della VPN di Fortinet. 

Qualche giorno dopo viene individuato, sullo stesso forum di hacking, un data dump contenente i file "sslvpn_websession" per ognuno degli indirizzi IP presenti sulla lista: qui si trovano username, password, livello di accesso e l'IP originale non mascherato dell'utente connesso alla VPN.

Fonte: https://twitter.com/Bank_Security

Parliamo di un file archivio .RAR che pesa soltanto 38MB, ma, una volta decompresso, si espande fino a oltre 7 GB.  Nel frattempo il file archivio viene ripostato e ricondiviso su molteplici altri forum e chat. L'esposizione delle password in questo file rende possibile per chiunque riutilizzarle in attacchi di credential stuffing, anche nel caso in cui la VPN Fortinet vulnerabile venisse patchata. 


La vulnerabilità CVE-2018-13379: qualche dettaglio
La CVE-2018-13379 è una vulnerabilità di livello critico che impatta un grande numero di dispositivi non patchati Fortinet FortiOS SSL VPN. Sfruttando tale falla, un attaccante non autenticato può, da remoto, avere accesso ai file di sistema tramite una speciale richiesta HTTP appositamente approntata. E' grazie a questa richiesta che l'attaccante può ottenere l'accesso ai file sslvpn_websession della VPN e sottrarre le credenziali. 

Il problema, come al solito, è la scarsa attenzione degli utenti ad eseguire le patch mantenendo aggiornati i software in uso. La CVE-2018-13379, ben lungi dall'essere una 0-day, è stata individuata nel lontano 2018 ma sono ancora 50.000 i target vulnerabili ed attaccabili, sparsi per tutto il mondo.


Fortinet ha provato (ripetutamente) ad avviare i clienti
Da parte sua Fortinet ha provato ripetutamente ad avvisare i clienti caldeggiando la patch, almeno fin dal lontano 2018, anno in cui  è stata resa pubblica questa vulnerabilità critica Path Traversal CVE-2018-13379. Ulteriori avvisi sono stati pubblicati nel Maggio 2019 (risoluzione di una vulnerabilità SSL), nell'Agosto del 2019 e nel Luglio 2020: anche qui l'azienda ha ribadito l'urgenza della patch. 

Tutto inutile, pare, dato il numero ancora impressionantemente alto di VPN non patchate: numero che ha indotto gli attaccanti a sfruttare attivamente in the wild la vulnerabilità. D'altronde il problema per un attaccante non è se l'azienda abbia o meno patchato le proprie vulnerabilità, ma che queste non sia ancora state installate per la maggior parte dei dispositivi. 

Una vulnerabilità usata per attacchi di alto profilo
Questa vulnerabilità è sfruttata attivamente, anche per portare attacchi di alto profilo. Qualche settimana va è stata sfruttata per accedere al sistema di supporto elettorale del Governo statunitense, mentre all'inizio dell'anno un gruppo di attaccanti collegati ai servizi di qualche paese ha armato la vulnerabilità affinchè fosse utilizzabile per compromettere le reti e distribuire ransomware. 

1 commento: