Desde el laboratorio de investigación de ESET Latinoamérica se envía alerta sobre una reciente publicación de información sensible con contraseñas de usuarios de Fortinet.
Recientemente se publicaron noticias sobre un actor malicioso que filtró un listado de casi 500.000 credenciales (usuario y password) asociados con dispositivos FortiGate SSL-VPN (Fortinet) que se vieron afectados por la vulnerabilidad CVE-2018-13379 hace más de dos años.
El listado de credenciales fue filtrado de manera gratuita por un actor cibercriminal en el recién lanzado foro de la Dark Web «RAMP» y que además está relacionado con el ransomware Babuk.
Es importante remarcar, que a pesar de que esta información pudo haber sido robada hace más de un año, es probable que muchas credenciales sigan en uso, inclusive en los dispositivo ya parcheados, si no se hicieron los cambios respectivos en los sistemas.
Más recientemente fue publicada una lista parcial de +23000 activos posiblemente comprometidos. Desde el equipo de Investigación de ESET Latinoamérica se analizó el listado publicado y se lograron identificar que al menos 3000 de las IPs publicadas correspondían a países de la región.
La publicación de esta información debe tomarse en consideración como una alerta crítica, ya que las credenciales robadas podrían permitir que actores cibercriminales accedan a la red utilizando diferentes vectores de propagación para realizar actividades de ciberespionaje, filtración de datos y/o instalación de ransomware.
Desde el equipo de Investigación de ESET se recomienda a las empresas que utilizan este tipo de dispositivos las siguientes acciones:
- Actualizar inmediatamente los dispositivos afectados a la última versión disponible que provea el fabricante (Fortinet).
- Tratar todas las credenciales relacionadas al software VPN de Fortinet como potencialmente comprometidas al realizar un restablecimiento de contraseña en toda la organización.
- Implementar un segundo factor de autenticación ayudará a mitigar el abuso de cualquier credencial comprometida.
- Notificar a los usuarios para explicarles el motivo del restablecimiento de la contraseña y solicitar que verifiquen si la misma aparece en servicios como ”Have I been Pwned”. Existe la posibilidad de que, si las contraseñas se han reutilizado para otras cuentas estas puedan ser aprovechadas mediante ataques de relleno de credenciales.
Recuerden que cualquier actividad sospechosa con respecto de estas campañas maliciosas, la pueden enviar a la casilla de correo [email protected]
Digital Defense es la mejor plataforma de evaluación de amenazas y gestión de vulnerabilidades nativa en la nube, construida para facilitar su uso, comprometida con el más alto nivel de rendimiento y precisión.