Un attore di minacce ha pubblicato online 500.000 credenziali di accesso relative a 87.000 dispositivi FortiGate SSL-VPN.
Le credenziali (username e password) sono state trapelate dai sistemi che erano rimasti privi di patch rispetto a una vulnerabilità risolta a maggio 2019, FG-IR-18-384 / CVE-2018-13379, al momento della scansione dell’attore e presumibilmente sono state estratte da dispositivi sfruttabili la scorsa estate.
Sebbene da allora potrebbero essere state corrette, laddove le password non sono state reimpostate, rimangono vulnerabili, ha informato Fortinet nel comunicato.
L’elenco è stato postato su un nuovo forum in lingua russa chiamato RAMP e le credenziali in questione riguarderebbero account relativi a organizzazioni in 74 paesi, tra cui Israele, India, Taiwan, Francia e Italia.
Fortinet ha comunicato di eseguire immediatamente i passaggi per garantire che le proprie credenziali non vengano abusate.
“Fortinet ribadisce che, se in qualsiasi momento la tua organizzazione utilizzava una delle versioni interessate elencate di seguito, anche se hai aggiornato i tuoi dispositivi, devi anche eseguire la reimpostazione della password utente consigliata dopo l’aggiornamento, come da bollettino dell’assistenza clienti e altri avvisi informazione. In caso contrario, potresti rimanere vulnerabile dopo l’aggiornamento se le credenziali dei tuoi utenti sono state precedentemente compromesse.
Anche in questo caso, se in qualsiasi momento la tua organizzazione utilizzava una versione interessata elencata nell’avviso originale, Fortinet consiglia di eseguire immediatamente i passaggi seguenti per garantire che le tue credenziali non vengano abusate”.
https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials