Tin tặc rò rỉ mật khẩu tài khoản VPN từ 87.000 thiết bị Fortinet FortiGate

Nhà cung cấp giải pháp an ninh mạng Fortinet xác nhận rằng một kẻ độc hại đã tiết lộ trái phép tên và mật khẩu đăng nhập VPN liên quan đến 87.000 thiết bị FortiGate SSL-VPN.

"Những thông tin đăng nhập này được lấy từ các hệ thống vẫn chưa được vá với CVE-2018-13379 tại thời điểm quét của tác nhân. Mặc dù chúng có thể đã được vá nhưng nếu mật khẩu không được đặt lại, chúng vẫn dễ bị tấn công", công ty cho biết trong một tuyên bố vào thứ Tư.

Tiết lộ được đưa ra sau khi kẻ đe dọa làm rò rỉ danh sách thông tin xác thực Fortinet miễn phí trên một diễn đàn nói tiếng Nga mới có tên RAMP ra mắt vào tháng 7 năm 2021 cũng như trên trang web rò rỉ dữ liệu của Groove ransomware, với Advanced Intel lưu ý rằng "danh sách vi phạm có chứa nguyên tiếp cận với các công ty hàng đầu "trải dài trên 74 quốc gia, bao gồm Ấn Độ, Đài Loan, Ý, Pháp,Việt Nam và Israel. Các nhà nghiên cứu cho biết: “2.959 trong số 22.500 nạn nhân là các thực thể của Hoa Kỳ.

CVE-2018-13379 liên quan đến một lỗ hổng truyền qua đường dẫn trong cổng web FortiOS SSL VPN, cho phép những kẻ tấn công chưa được xác thực đọc các tệp hệ thống tùy ý, bao gồm tệp phiên chứa tên người dùng và mật khẩu được lưu trữ trong văn bản rõ ràng.

Mặc dù lỗi được sửa chữa tháng năm 2019, sự yếu kém an ninh đã được lặp đi lặp lại khai thác bởi nhiều đối thủ để triển khai một loạt các trọng tải mã độc trên các thiết bị chưa được vá, khiến Fortinet đưa ra một loạt các khuyến cáo trong tháng 8 năm 2019 , tháng 7 năm 2020 , tháng 4 năm 2021 , và một lần nữa vào tháng 6 năm 2021 , khuyến khích khách hàng nâng cấp các thiết bị bị ảnh hưởng.

CVE-2018-13379 cũng nổi lên là một trong những lỗ hổng được khai thác nhiều nhất vào năm 2020, theo danh sách do các cơ quan tình báo ở Úc, Anh và Mỹ tổng hợp vào đầu năm nay.

Do rò rỉ, Fortinet khuyến nghị các công ty nên vô hiệu hóa ngay lập tức tất cả các VPN, nâng cấp thiết bị lên FortiOS 5.4.13, 5.6.14, 6.0.11 hoặc 6.2.8 trở lên, sau đó bắt đầu đặt lại mật khẩu toàn tổ chức, cảnh báo rằng "bạn có thể vẫn dễ bị tấn công sau khi nâng cấp nếu thông tin đăng nhập của người dùng của bạn đã bị xâm phạm trước đó."

Theo : https://thehackernews.com/2021/09/hackers-leak-vpn-account-passwords-from.html