Le VPN permettono di nascondere il vero indirizzo IP e quindi di aggirare eventuali restrizioni geografiche, ma i server usati dal fornitore del servizio possono essere compromessi come un qualsiasi computer. Esattamente quello che è accaduto a Fortinet: un cybercriminale ha pubblicato online quasi 500.000 credenziali di accesso (nome utente e password) ai dispositivi FortiGate SSL-VPN dell’azienda californiana.
Patch installata, ma password non resettate
L’elenco delle password è stato pubblicato da un certo Orange sul nuovo forum RAMP. Il post contiene il link ad un sito Tor che ospita il file con 498.908 credenziali di accesso a 12.856 dispositivi. BleepingComputer ha verificato che tutti gli indirizzi IP appartengono a server VPN di Fortinet. L’azienda ha confermato che i dati finiti online sono relativi a 87.000 dispositivi FortiGate SSL-VPN, quindi un numero addirittura maggiore.
Fortinet scrive che le credenziali sono state ottenute dal cybercrminale prima della distribuzione della patch per la vulnerabilità FG-IR-18-384 (CVE-2018-13379) risolta a maggio 2019. Le vecchie versioni di FortiOS consentivano di accedere ai file di sistema tramite specifiche richieste HTTP e senza autenticazione al portale web.
All’epoca l’azienda statunitense aveva suggerito di resettare tutte le password, dopo aver installato l’aggiornamento. Dato che l’elenco delle credenziali è stato pubblicato online è evidente che ci sono ancora server con le stesse password (altrimenti il contenuto del file non avrebbe nessun valore). Oltre ad effettuare il reset delle password è consigliabile attivare l’autenticazione a due fattori. Se per qualche motivo non si può installare la patch è meglio disattivare il servizio SSL-VPN.
Ti potrebbe interessare
9 set 2021