Un attore malevolo ha pubblicato online un elenco di oltre 49.000 dispositivi Fortinet VPN vulnerabili alla falla CVE-2018-13379 nota dal 2018.
Un attore malevolo, che utilizza il nikname “pumpedkicks,” ha pubblicato su un hacking forum un elenco di exploit per oltre 49,000 dispositivi Fortinet VPN affetti dalla falla CVE-2018-13379 che potrebbero essere sfruttati in maniera semplice da un attaccante per rubarne le credenziali.
I primi a segnalare la presenza dell’elenco online di 49.577 IP associati a dispositivi Fortinet SSL VPN affetti dalla falla CVE-2018-13379 sono stati gli esperti di Bank Security.
After a nslookup on all IPs, I found that among the victims there are some Banks, many .gov domains and thousands of companies around the world. https://t.co/F4o9xzjGJ4
— Bank Security (@Bank_Security) November 20, 2020
Uno degli aspetti più sconcertanti relativi alla pubblicazione di questo elenco è che molti dei dispositivi associati agli IP presenti nell’elenco appartengono a grandi imprese, banche ed organizzazioni governative in tutto il mondo.
La vulnerabilità CVE-2018-13379 presente nel sistema operativo FortiOS utilizzato dai server Fortinet VPN è una falla di tipo path traversal che può essere sfruttata da un attaccante per accedere a file presenti sul server ed eventualmente caricare file dannosi utilizzati per compromettere i server dell’organizzazione presa di mira.
Il ricercatore AX Sharma, che ha analizzato l’exploit condiviso da pumpedkicks, ha spiegato che il codice malevolo può consentire ad un attaccante di accedere al file sslvpn_websession dei dispositivi FortiNet VPN per rubare le credenziali di accesso.
Una volta ottenute le credenziali di questi dispositivi, gli attaccanti potrebbero utilizzarle per ottenere l’accesso alle reti obiettivo ed eseguire molteplici azioni malevole, come la distribuzione manuale di malware e ransomware.
Contrariamente a quanto si possa credere, la falla è nota pubblicamente già dal 2018 e già da allora il famoso esperto di sicurezza informatica Kevin Beaumont ha riferito che attori malevoli stavano tentando di sfruttare la falla CVE-2018-13379 in FortiOS SSL VPN e la vulnerabilità CVE-2019-11510 in Pulse Connect Secure.
Recentemente, le agenzie americane CISA ed FBI hanno osservato attacchi effettuati da gruppi APT (Advanced Persistent Threat) che combinavano le due falle CVE-2018-13379 e CVE-2020-1472 .
Gli esperti del governo americano hanno spiegato che gli attaccanti stanno combinando questi due difetti per hackerare i server Fortinet e utilizzarli come punto di ingresso nelle reti governative, e successivamente assumere il controllo delle reti interne utilizzando un’altra vulnerabilità nota come Zerologon.
Secondo Ax Sharma, l’elenco delle VPN Fortinet vulnerabili include oltre almeno quattro dozzine di indirizzi IP appartenenti a principali organizzazioni bancarie, finanziarie e governative.
L’aspetto più preoccupante di questa scoperta è che nonostante la falla CVE-2018-13379 sia ben nota da circa due anni, molte organizzazioni non hanno ancora risolto il problema all’interno delle loro infrastrutture.
La divulgazione dell’elenco conferma che le organizzazioni interessate non implementano un processo di gestione delle patch efficiente.
Ad una rapida lettura pare che vi siano indirizzi anche di realtà italiane, per cui è bene che gli amministratori di queste organizzazioni applichino gli update rilasciati da Fortinet.
L’elenco completo è disponibile qui:
The list of Fortinet SSL VPN – 49,577 (CVE-2018-13379) was indexed here:https://t.co/HQjt0ZIHoy 🔓 https://t.co/OoecmFgGEN
— Intelligence X (@_IntelligenceX) November 21, 2020
Aggiornamento 24 Novembre.
Di seguito una comunicazione distribuita da Fortinet in merito alla falla
“The security of our customers is our first priority. In May 2019 Fortinet issued a PSIRT advisory regarding an SSL vulnerability that was resolved, and have also communicated directly with customers and again via corporate blog posts in August 2019 and July 2020 strongly recommending an upgrade. In the last week, we have communicated with all customers notifying them again of the vulnerability and steps to mitigate. While we cannot confirm that the attack vectors for this group took place via this vulnerability, we continue to urge customers to implement the upgrade and mitigations. To get more information, please visit our updated blog and immediately refer to the May 2019 advisory.”
