Resumen Ejecutivo
Un actor malicioso ha filtrado un listado de casi 500.000 credenciales (usuario y password) de 87.000 dispositivos FortiGate SSL-VPN (Fortinet) vulnerables a CVE-2018-13379. Aunque esta información fue extraída hace más de 1 año, el actor de amenaza afirma que muchas credenciales siguen siendo válidas, inclusive en los dispositivo ya parcheados.
La realidad, es que los grupos cibercriminales monitorean las redes para detectar la aparición de vulnerabilidades de alto impacto como esta, que les permita el llamado Acceso Inicial.
Al detectar estas nuevas oportunidades, los atacantes, realizan escaneos masivos y automatizados (en cuestión de minutos) para extraer esta información sensible desde la mayor cantidad de dispositivos posible, luego, realizan un segundo análisis y selección de los objetivos (víctimas) de mayor valor para las operaciones del cibercrimien.
Por el otro lado de la moneda, muchas organizaciones no alcanzan a implementar los parches de seguridad a tiempo y son víctimas de la exfiltración de estos datos críticos antes de que puedan aprobar los cambios en la plataforma (RFC).
El error garrafal aquí, consiste en parchear el dispositivo pero no realizar el cambio masivo y total de credenciales.
Esta filtración se debe tomar como una alerta crítica, ya que las credenciales VPN podrían permitir a los actores de amenaza acceder a la red incluso desde otros vectores y realizar por ejemplo, ciberespionaje, filtración de datos y/o instalación de ransomware.
La lista de credenciales de Fortinet fue filtrada de manera gratuita por un actor de amenazas conocido como «Orange«, que es el administrador del recién lanzado foro de la Dark Web «RAMP» y un ex operador de Babuk ransomware.
Después de que se produjeran algunas disputas entre los miembros de la banda Babuk, Orange se separó para iniciar RAMP y ahora se cree que es un representante de la nueva operación de Groove ransomware.
Aun no esta del todo claro porqué el actor de amenaza publicó las credenciales en lugar de usarlas para sí mismo, se cree que lo hizo para promover el foro de hacking RAMP y la nueva banda de Ransomware Groove.
Panorama en Chile
El investigador de seguridad @crypto-cypher recopiló la información y dispuso de una lista de las direcciones IP de los dispositivos afectados agrupados por país: https://gist.github.com/crypto-cypher/bbc485b5fa0fc87a3a38d77de0894a92.
De este registro se pueden obtener 250 IP’s únicas en Chile que fueron afectadas por este ataque.
Por otro lado, el ingeniero en redes y ciberseguridad Paulo Colomés, publico un listado con el nombre de las empresas posiblemente afectadas que pudo identificar a través de la IP.
ACLARACIÓN: El registro cuenta con algunos falsos-positivos.
La información debe tomarse como referencia, para iniciar investigaciones y validaciones internas.
CronUp logró acceso al archivo original para analizar la seguridad de los passwords en dispositivos críticos (VPN) utilizado por las organizaciones afectadas en Chile.
A continuación, un listado con el TOP password debiles.
- 337799
- 563909
- 12345678
- 123Momia
- 1q2w3e
- 2020bperez
- 2020cblanche
- 2020rsepulveda
- administrador
- agaete2020
- amanda7
- anabel2
- Araya.92
- Basis2019*
- cfc.2020
- chile.2020
- Claves.01
- contacto2019
- contreras2020
- cv.2018
- cvt2020
- cvt2020
- daily2020
- Delivery.2020
- dsac.2019
- dy-2020
- Elvira2013
- Esign.2020
- Espinosa2012
- fcontreras
- felipe23
- fescares.2018
- Fmc.14100
- Gbt*2020
- Global2020
- Gore2020
- icampos
- Integr4c10n
- jessicaig
- jibarra
- jm-2019
- joagui2019
- Jvegas2019
- Lgarrido6596
- Lorena2020#
- lr2020
- Mateo411
- Miguel.21
- montina2020
- mr2018
- mutual2020
- olidata99
- pass1112
- Passw0rd
- Password.01
- Patricia.2020
- pia2020
- prueba
- ROSORIO2016
- rvalderrama
- Santiago2030
- solicitudes
- soporte.2019#
- twl.2020
- vale2019
- vmorales
- vpnpr016
- Yp2020
Un dato relevante, es que dos (2) de estos passwords débiles, son utilizados como claves por defecto de reconocidos proveedores de Ciberseguridad, CUIDADO.
De acuerdo a nuestros registros, CronUp ha podido confirmar que al menos 4 organizaciones del listado, han tenido incidente por Ransomware en los últimos 18 meses.
Recomendaciones de Seguridad
- Actualizar inmediatamente los dispositivos afectados a la última versión disponible.
- En el caso de que el dispositivo haya sido vulnerable, cambiar todas las credenciales de acceso del dispositivo.
- Verificar junto a los usuarios, de que sus passwords no sean reutilizados en otras plataformas de la organización.
- Implementar la autenticación multifactor en todos los dispositivos que concedan el acceso a la red interna.
Más información
- https://www.ic3.gov/Media/News/2021/210402.pdf
- https://therecord.media/fortinet-warns-customers-after-hackers-leak-passwords-for-87000-vpns/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13379
- https://www.fortiguard.com/psirt/FG-IR-18-384
- https://www.fortiguard.com/psirt/FG-IR-20-233
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
