Blog

Filtran cerca de 500.000 credenciales de VPN’s Fortinet (CVE-2018-13379)

Resumen Ejecutivo

Un actor malicioso ha filtrado un listado de casi 500.000 credenciales (usuario y password) de 87.000 dispositivos FortiGate SSL-VPN (Fortinet) vulnerables a CVE-2018-13379. Aunque esta información fue extraída hace más de 1 año, el actor de amenaza afirma que muchas credenciales siguen siendo válidas, inclusive en los dispositivo ya parcheados.

La realidad, es que los grupos cibercriminales monitorean las redes para detectar la aparición de vulnerabilidades de alto impacto como esta, que les permita el llamado Acceso Inicial.

Al detectar estas nuevas oportunidades, los atacantes, realizan escaneos masivos y automatizados (en cuestión de minutos) para extraer esta información sensible desde la mayor cantidad de dispositivos posible, luego, realizan un segundo análisis y selección de los objetivos (víctimas) de mayor valor para las operaciones del cibercrimien.

Por el otro lado de la moneda, muchas organizaciones no alcanzan a implementar los parches de seguridad a tiempo y son víctimas de la exfiltración de estos datos críticos antes de que puedan aprobar los cambios en la plataforma (RFC).

El error garrafal aquí, consiste en parchear el dispositivo pero no realizar el cambio masivo y total de credenciales.

Esta filtración se debe tomar como una alerta crítica, ya que las credenciales VPN podrían permitir a los actores de amenaza acceder a la red incluso desde otros vectores y realizar por ejemplo, ciberespionaje, filtración de datos y/o instalación de ransomware.

La lista de credenciales de Fortinet fue filtrada de manera gratuita por un actor de amenazas conocido como «Orange«, que es el administrador del recién lanzado foro de la Dark Web «RAMP» y un ex operador de Babuk ransomware.

Después de que se produjeran algunas disputas entre los miembros de la banda Babuk, Orange se separó para iniciar RAMP y ahora se cree que es un representante de la nueva operación de Groove ransomware.

Aun no esta del todo claro porqué el actor de amenaza publicó las credenciales en lugar de usarlas para sí mismo, se cree que lo hizo para promover el foro de hacking RAMP y la nueva banda de Ransomware Groove.

Panorama en Chile

El investigador de seguridad @crypto-cypher recopiló la información y dispuso de una lista de las direcciones IP de los dispositivos afectados agrupados por país: https://gist.github.com/crypto-cypher/bbc485b5fa0fc87a3a38d77de0894a92.

De este registro se pueden obtener 250 IP’s únicas en Chile que fueron afectadas por este ataque.

Por otro lado, el ingeniero en redes y ciberseguridad Paulo Colomés, publico un listado con el nombre de las empresas posiblemente afectadas que pudo identificar a través de la IP.

ACLARACIÓN: El registro cuenta con algunos falsos-positivos.

La información debe tomarse como referencia, para iniciar investigaciones y validaciones internas.

CronUp logró acceso al archivo original para analizar la seguridad de los passwords en dispositivos críticos (VPN) utilizado por las organizaciones afectadas en Chile.

A continuación, un listado con el TOP password debiles.

  • 337799
  • 563909
  • 12345678
  • 123Momia
  • 1q2w3e
  • 2020bperez
  • 2020cblanche
  • 2020rsepulveda
  • administrador
  • agaete2020
  • amanda7
  • anabel2
  • Araya.92
  • Basis2019*
  • cfc.2020
  • chile.2020
  • Claves.01
  • contacto2019
  • contreras2020
  • cv.2018
  • cvt2020
  • cvt2020
  • daily2020
  • Delivery.2020
  • dsac.2019
  • dy-2020
  • Elvira2013
  • Esign.2020
  • Espinosa2012
  • fcontreras
  • felipe23
  • fescares.2018
  • Fmc.14100
  • Gbt*2020
  • Global2020
  • Gore2020
  • icampos
  • Integr4c10n
  • jessicaig
  • jibarra
  • jm-2019
  • joagui2019
  • Jvegas2019
  • Lgarrido6596
  • Lorena2020#
  • lr2020
  • Mateo411
  • Miguel.21
  • montina2020
  • mr2018
  • mutual2020
  • olidata99
  • pass1112
  • Passw0rd
  • Password.01
  • Patricia.2020
  • pia2020
  • prueba
  • ROSORIO2016
  • rvalderrama
  • Santiago2030
  • solicitudes
  • soporte.2019#
  • twl.2020
  • vale2019
  • vmorales
  • vpnpr016
  • Yp2020

Un dato relevante, es que dos (2) de estos passwords débiles, son utilizados como claves por defecto de reconocidos proveedores de Ciberseguridad, CUIDADO.

De acuerdo a nuestros registros, CronUp ha podido confirmar que al menos 4 organizaciones del listado, han tenido incidente por Ransomware en los últimos 18 meses.

Recomendaciones de Seguridad

  • Actualizar inmediatamente los dispositivos afectados a la última versión disponible.
  • En el caso de que el dispositivo haya sido vulnerable, cambiar todas las credenciales de acceso del dispositivo.
  • Verificar junto a los usuarios, de que sus passwords no sean reutilizados en otras plataformas de la organización.
  • Implementar la autenticación multifactor en todos los dispositivos que concedan el acceso a la red interna.

Más información

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad