Pochi giorni fa un forum frequentato da cybercriminali ha pubblicato una lunga lista, frutto di un imponente data breach, contenente i dati d’accesso di circa 500.000 account di sistemi VPN erogati da Fortinet. Tali servizi, erogati dalla nota azienda americana, vengono forniti a società ed enti sparsi in tutto il mondo. Per dare qualche numero, Fortinet opera per 74 paesi, Italia inclusa, e fornisce VPN sia ad aziende private che pubbliche.
Questo data breach avrebbe coinvolto oltre 22mila soggetti, tra le quali spuntano anche 40 aziende italiane delle quali ovviamente non si sa ancora il nome. Questo furto massiccio di credenziali è stato perpetrato sfruttando una vulnerabilità presente nei sistemi Fortinet, la CVE-2018-13379 Path Traversal. Essa, già fixata, si trovava nel sistema operativo FortiOS dei dispositivi di protezione Fortigate. La tecnica utilizzata, invece, sembra essere stata quella del data scraping.
Gli analisti che hanno scoperto il data breach hanno constatato che le credenziali divulgate, circa 500.000, sono da associare ai sistemi di Fortinet e che, soprattutto, molte di esse sono ancora valide. Il forum sul quale sono stati pubblicati i dati si chiama RAMP, un nuovo portale dedicato all’hacking, divulgati dall’utente Orange. Tale pubblicazione è avvenuta sul forum condividendo un link per collegarsi direttamente al file con i dati. Molti analisti pensano che la divulgazione gratuita di tutti questi dati sia stato un modo per promuovere lo stesso RAMP, che vuol fornire strumenti utili a chi vuole iniziare a diffondere ransomware.
Proprio nel momento della pubblicazione dei dati degli utenti Fortinet anche il sito degli hacker russi chiamati Groove ha pubblicato un link che riportava alla lista. L’utente incriminato sembrerebbe essere proprio uno degli amministratori di RAMP e soprattutto un membro del gruppo hacker chiamato Babuk. Gli esperti stanno cercando di capire se Orange, dopo essersi staccato dagli altri hacker, non stia provando a creare una sua piattaforma personale con RAMP e sponsorizzare il gruppo Groove.
Purtroppo, questa non è la prima volta in cui Fortinet patisce una fuoriuscita di dati. Già alla fine del 2020 venne segnalata la pubblicazione online delle credenziali di 50.000 account estrapolate grazie a multiple vulnerabilità di varie versioni di FortiOS. L’azienda, ora come allora, ha raccomandato repentinamente a tutti i suoi clienti di resettare immediatamente tutte le password, perché questo data breach potrebbe portare ad un’altra lunghissima serie di attacchi. Ovviamente anche l’aggiornamento alla versione fixata del sistema operativo ed il controllo peculiare di tutti i log, fatto dall’azienda, dovranno essere messi urgentemente in agenda.
Aggiornamento del 16/09
L’azienda Fortinet ha diffuso un comunicato ufficiale per tranquillizzare i suoi utenti riguardo all’attacco subito. In esso si legge quanto segue:
“La sicurezza dei nostri clienti è la nostra priorità. Fortinet è a conoscenza del fatto che un malintenzionato ha pubblicato le credenziali SSL-VPN per l’accesso ai device Fortigate SSL-VPN. Tali dati sono stati rubati da sistemi sui quali non era ancora stata installata la patch di aggiornamento datata maggio 2019. Da maggio 2019, Fortinet ha continativamente comunicato l’urgenza di installare tali mitigazioni anche tramite il suo blog, con gli articoli dell’agosto 2019, aprile 2020 e Giugno 2021. Per maggiori informazioni è possibile leggere il nostro ultimo post del blog. Rilasceremo al più presto possibile nuovi avvisi per raccomandare fortemente l’installazione delle patch di aggiornamento ed il reset delle password.