Haker objavio lozinke za 500.000 Fortinet VPN naloga

Vesti, 10.09.2021, 10:00 AM

Spisak sa skoro 500.000 korisničkih imena i lozinki za prijavljivanje na Fortinet VPN koji su navodno ukradeni prošlog leta sa ranjivih uređaja objavljen je na jednom hakerskom forumu.

Haker koji je objavio ovaj spisak navodi da je iskorišćena ranjivost Fortineta od tada uklonjena, ali da su mnogi podaci i dalje važeći.

Ovo curenje podataka je ozbiljan incident jer bi se korisnička imena i lozinke mogli iskoristiti za pristup mrežama i izvlačenje podataka, instalaciju malvera i napade ransomwarea.

Spisak sa podacima je besplatan, a objavila ga je osoba koja se krije iza pseudonima “Orange”, koja je administrator nedavno pokrenutog hakerskog foruma RAMP, i koja je bila umešana u napade ransomwarea Babuk. Nakon sukoba članova bande Babuk, Orange se odvojio i pokrenuo forum RAMP. Veruje se da on sada stoji iza novog ransomwarea Groove.

Orange je ove nedelje na forumu objavio link do fajla koji navodno sadrži podatke o hiljadama Fortinet VPN naloga. U isto vreme, isti tekst je objavljen na sajtu Groove ransomwarea koji je namenjen objavljivanju podataka ukradenih od žrtava napada ransomwarea.

Obe objave vode do fajla na Tor serveru, koji grupa Groove koristi za skladištenje ukradenih fajlova za koje preti da će ih objaviti vršeći tako pritisak na žrtve da plate i spreče katastrofu.

Bleeping Computer je analizirao fajl i utvrdio da sadrži podatke za prijavljivanje za 498.908 korisnika na 12.856 uređaja. Ne zna se da li su podaci zaista važeći, ali je potvrđeno da su sve proverene IP adrese Fortinet VPN serveri.

Ranjivost koju su hakeri iskoristili za krađu ovih podaka je praćena kao CVE-2018-13379.

Izvori koje citira Bleeping Computer daju različite odgovore - neki kažu da su mnogi podaci validni, dok drugi kažu da većina podataka za prijavljivanje ne funkcioniše.

Razlog zašto haker nije sačuvao ove podatke za sebe je verovatno pokušaj da promoviše RAMP forum i ransomware Groove kao besplatnu uslugu za one koji žele da uđu u posao sa ransomwareom. Groove je relativno nov ransomware koji za sada ima samo jednu žrtvu koja je navedena na namenskom sajtu. Nudeći besplatno usluge i ukradene podatke drugim sajber kriminalcima, Orange se verovatno nada da će ih privoleti na partnerstvo.

Iako nema čvrstih dokaza da su podaci validni, preporuka za administratore Fortinet VPN servera je da se pođe sa tom pretpostavkom i preduzmu mere predostrožnosti, koje uključuju poništavanje svih korisničkih lozinki i proveru mogućih upada.

Listu procurelih IP adresa objavio je istraživač Cypher i nju možete naći ovde.

Fortinet se oglasio na ovu temu i rekao da je incident povezan sa ranjivošću koja je rešena u maju 2019. godine, te da je Fortinet u vreme kada se incident dogodio direktno komunicirao sa svojim klijentima, kao i da je objavio više postova na blogu sa detaljima u vezi ovog incidenta.