Uno sconosciuto attaccante ha pubblicato una lista di circa 500.000 username e password di account VPN Fortinet rubati la scorsa estate da dispositivi vulnerabili violati con exploit. L'attaccante ha dichiarato che la vulnerabilità sfruttata è stata in realtà patchata successivamente da Fortinet, ma "la quasi totalità delle credenziali VPN risulterebbero ancora valide" (dato tutto da verificare, anche se alcuni ricercatori confermano la validità di un intero campione usato come test), a ribadire quanto sia ancora una pratica poco radicata quella del cambio periodico delle password.
Perchè questo leak è così grave? La storia insegna che le credenziali VPN possono essere molto utili ad un attaccante per accedere alle reti e eseguire esfiltrazioni massive di dati, installare malware ma anche portare attacchi ransomware. Per fare un esempio a noi ben noto, è molto probabile che l'attacco ransomware che ha paralizzato i sistemi della regione Lazio sia iniziato proprio grazie all'uso, da parte degli attaccanti, delle credenziali rubate di un account VPN in uso ad un dipendente in smart working: le indagini stanno procedendo, infatti, in questa direzione.
Per approfondire > Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain
Le credenziali Fortinet sottratte sono state pubblicate su una serie di forum di hacking da un attaccante conosciuto come "Orange", già operatore della campagna ransomware Babuk e amministratore di un nuovo forum di hacking chiamato RAMP. Orange sembra fuoriuscito, per divergenze gestionali, dal gruppo Babuk, ha aperto il nuovo forum di hacking quindi è divenuto portavoce della nuova operazione ransomware Groove.
La correlazione tra il forum RAMP e il nuovo ransomware Groove è confermata da un piccolo indizio: nella foto sotto è visibile il post pubblicato da Orange. Contiene un link che rimanda, appunto, alla lista di credenziali VPN Fortinet.
Quasi in contemporanea, sulla pagina di leak del ransomware Groove è apparsa la comunicazione del leak subito da Fortinet VPN
 |
| Il sito di leak di Groove. Fonte: bleepingcomputer.com |
In entrambi i casi, il link rimanda ad un file ospitato su un server di storage Tor, già usato dagli attaccanti di Groove per ospitare i file rubati e ricattare le vittime. Secondo il ricercatore di sicurezza Vitali Kremez c'è da pensare che "il leak SSL VPN sia stato probabilmente realizzato per promuovere il nuovo forum di hacking RAMP, offrendo un omaggio agli aspiranti operatori ransomware".
Non è dato sapere quante delle credenziali relative a 498,908 account siano ancora valide: la redazione di Bleeping Computer però, dopo verifica, ha confermato che tutti gli indirizzi IP testati sono server Fortinet VPN. Ulteriori analisi condotte da Advanced Intel mostrano che gli IP indicano dispositivi sparsi nel mondo, di questi quasi l'8% sono in Italia. Prime stime dicono che le aziende esposte al leak siano 22.500, sparse nel mondo, ma una 40ina sarebbero aziende italiane.
La vulnerabilità CVE-2018-13379, già patchata
Stando a quanto dichiarato da alcuni ricercatori, le credenziali potrebbero essere state sottratte tramite data scraping sfruttando una vulnerabilità nota, la CVE-2018-13379: questa vulnerabilità affliggeva il sistema operativo FortiOS installato su alcuni dispositivi Fortigate, ma è stata già corretta. Il problema era così grave da aver portato perfino l'FBI, insieme alla CISA (Cybersecurity and Infrastructure Security Agency), ad allertare le aziende su questo advanced persistent threat (APT) usato già in molte occasioni per attacchi contro server Fortinet FortiOS, puntando molto l'attenzione sul fatto che tale vulnerabilità avrebbe condotto a leak utilissimi per portare futuri attacchi.
 |
| La disposizione geografica dei server violati. Fonte: ADVIntel |
Nessun commento:
Posta un commento